ESCUELA POLITÉCNICA DEL EJÉRCITO

CARRERA DE INGENIERÍA DE SISTEMAS E INFORMÁTICA

DPTO. DE CIENCIAS DE LA COMPUTACIÓN

“AUDITORÍA INFORMÁTICA DE LA COOPERATIVA DE AHORRO Y CRÉDITO “ALIANZA DEL VALLE” LTDA. APLICANDO COBIT 4.0”

Previa a la obtención del Título de:

INGENIERO EN SISTEMAS E INFORMÁTICA

REALIZADO POR:
GABRIELA FERNANDA BARROS MARCILLO ANDREA ERIKA CADENA MARTEN

SANGOLQUÍ, 10 de Enero del 2012

CERTIFICACIÓN

Certifico que el presente trabajo fue realizado en su totalidad por las Srtas. GABRIELA FERNANDA BARROS MARCILLO y ANDREA ERIKA CADENA MARTEN como requerimiento parcial a la obtención del título de INGENIERAS EN SISTEMAS E INFORMÁTICA.

Sangolquí, 10 de Enero del 2012

_________________________ ING. MARIO RON

2

DEDICATORIA

A mis Padres, quienes durante toda mi vida me han brindado la fuerza, confianza, ánimo y apoyo necesario; siendo mi apoyo incondicional en toda esta etapa de mi vida, también es dedicada a mi hermano que es el motivo de mi lucha diaria y, por el que me esfuerzo día a día.

Rolando Neidy y Héctor

ANDREA CADENA

3

DEDICATORIA

Dedico este proyecto de tesis a DIOS, a mi familia y mi novio. A Dios porque ha estado conmigo a cada paso que doy, cuidándome y dándome fortaleza para continuar, a mi familia, quienes a lo largo de mi vida han velado por mi bienestar y educación siendo mi apoyo en todo momento. Depositando su entera confianza en cada reto que se me presentaba sin dudar ni un solo momento en mi inteligencia y capacidad. A mi novio, compañero inseparable apoyo en los momentos difíciles y aliento para seguir adelante y no desmayar. Es por ellos que soy lo que soy ahora. Los amo con mi vida.

GABRIELA BARROS

4

AGRADECIMIENTO

A mis padres por ser mi ejemplo a seguir, por brindarme todo el amor y apoyo durante mi vida, a mi hermano por darme la fuerza para seguir adelante a pesar de todo, a mi enamorado por ser mi soporte, a mi familia por siempre estar a mi lado, a la Escuela Politécnica del Ejército por todas las enseñanzas recibidas, a los ingenieros que ayudaron en la elaboración de este proyecto: Ing. Mario Ron, Eco. Gabriel Chiriboga; por su guía en todas las fases de la tesis y a todas las personas que de una u otra forma ayudaron a la culminación de esta meta.

ANDREA CADENA

5

AGRADECIMIENTO

En primer lugar a DIOS por haberme guiado por el camino de la felicidad hasta ahora; en segundo lugar a cada uno de los que son parte de mi familia a mi PADRE Víctor Barros, mi MADRE Rosario Marcillo, mis hermanos y sobrinos por siempre haberme dado su fuerza y apoyo incondicional que me han ayudado y llevado hasta donde estoy ahora. A mi compañera de tesis y amiga Andrea Cadena, a la Escuela Politécnica del Ejército por todas las enseñanzas recibidas y, de una manera muy especial agradezco a quienes fueron guía y apoyo para culminar este proyecto Ing. Mario Ron y Eco. Gabriel Chiriboga.

GABRIELA BARROS

6

...........1......................................1.......... 261 CAPÍTULO I .......... 107 4... 213 Anexo D INFORME EJECUTIVO..........................1..........3........................ APLICACIÓN DEL MODELO COBIT A LA COOPERATIVA DE AHORRO Y CREDITO “ALIANZA DEL VALLE” ................................................... GENERALIDADES DEL MODELO COBIT ........................................................................................................................................................................................... 18 1......2.. 37 2................3..................... 87 CAPÍTULO IV ................................ EL PROCESO DE LA AUDITORÍA INFORMÁTICA .......................................................................................... 215 Anexo E INFORME DETALLADO ............... 149 Anexo C Lista de Documentación Solicitada .................... INTRODUCCIÓN ...... INTRODUCCIÓN ...................... 38 2............................................................................ 107 4......................... 27 1....................... 109 7 ...2.................................... 37 2................... 81 3.........................3............................................................................................................................................. INVESTIGACIÓN DE CAMPO .................. 116 Anexo B Carpeta de Evidencias . 34 CAPÍTULO II .................... DESCRIPCIÓN DEL TRABAJO EFECTUADO .................................................................................... RESUMEN EJECUTIVO ..................... 221 Anexo F NIVEL DE MADUREZ DE LA COOPERATIVA ....................... 54 3................... 250 Anexo G PROPUESTA DE SERVICIOS DE AUDITORÍA EN INFORMÁTICA .... 18 1..................................................................................... 116 Anexo A Hojas de Evaluación ..TABLA DE CONTENIDOS ANEXOS .................................. 256 BIBLIOGRAFÍA ................... 42 CAPÍTULO III .......................................................................................................................................3..................................... 107 4.2........................................ 54 3................ CONTENIDO (PRODUCTOS COBIT) ...........................2................................ SITUACIÓN ACTUAL DE LA ENTIDAD ................ CLASIFICACIÓN DE LOS CONTROLES TI ............................................1 GENERALIDADES .................................................................

........................... 8 íNDICE DE TABLAS ...4........................................ 49 GRÁFICA 7:ESTRUCTUTA ORGANIZACIONAL......................... 39 GRÁFICA 3: PRINCIPIOS BÁSICOS DE COBIT ..................................................................................................................... 50 TABLA 3: MATRIZ DE RIESGOS ................ 80 8 .... 60 GRÁFICA 10:OCUPACIONES ................. RESULTADOS – INFORME DE LAS RECOMENDACIONES ACORDADAS CON LAS AUTORIDADES PERTINENTES ........................................................................................................................... 114 íNDICE DE GRÁFICAS ........................... 43 GRÁFICA 4:CUBO COBIT .. 97 ÍNDICE DE GRÁFICAS GRÁFICA 1:PIRÁMIDE DE PROCESOS ........................................................................................................................................ 59 GRÁFICA 8: AREA OCUPACIONAL ......................................................................................................................................... 79 GRÁFICA 13:ESQUEMA DE LA RED LAN/ WAN ............................................... 60 GRÁFICA 9:GRUPO OCUPACIONAL ................... 87 TABLA 4:MATRIZ DE INVESTIGACIÓN DE CAMPO ................................................................... 17 RESUMEN ............................................. 68 GRÁFICA 12: ESPECIFICACIÓN DE SERVIDORES ........... 16 ÍNDICE DE TABLAS TABLA 2: MATRIZ COBIT VS ITIL....................................................................................................... 61 GRÁFICA 11:ESTRUCTURA ORGANIZACIONAL DEL AREA DE SISTEMAS ................ 45 GRÁFICA 5:NIVELES DE ACTIVIDADES DE TI ..................................... 46 GRÁFICA 6:MARCO DE COBIT ..................................................... COSO ........................................4............ 27 GRÁFICA 2:PAQUETE DE PROGRAMAS DE COBIT .......................................................................................... 110 CAPÍTULO V ........................................................................................................................................................................................................... 7 PRÓLOGO .......................................................................................

Auditor. así como para identificar aspectos susceptibles de mejorarse o eliminarse. y comprobar el sistema de procesamiento de información como parte de la evaluación de control interno. las 9 . Establecen las políticas de las operaciones y dirigen la interacción de la organización con su entorno.. efectividad de los controles en las áreas. Es la revisión que se dirige a evaluar los métodos y procedimientos de uso en una entidad. Alta gerencia... que llegue a realizarse. Consiste en el examen de las políticas.Persona que efectúa una auditoría.Examen de las operaciones de una empresa. con el propósito de determinar si su diseño y aplicación son correctos.GLOSARIO DE TÉRMINOS Alcance de la auditoría.. Auditoría de tecnologías de la información. Amenaza.Cualquier aspecto o escenario que pueda ocasionar que un riesgo se convierta en incidente. Estas personas reciben el nombre de ejecutivos. Auditoría de sistema. segmentos o actividades que son objeto de la misma. Estos archivos no pueden ser eliminados normalmente por el usuario o el sistema le advierte que se dispone a eliminar un fichero necesario para su correcto funcionamiento. o sea.-La alta gerencia está compuesta por una cantidad de personas comparativamente pequeña y es la responsable de administrar toda la organización. Auditoría. realizado por especialistas ajenos a ella y con objetivos de evaluar la situación de la misma.Son aquellos archivos de uso exclusivo del sistema operativo. procedimientos y utilización de los recursos informáticos.El marco o límite de la auditoría y las materias. confiabilidad y validez de la información.. Archivos de sistema. temas.

Una base de datos relacionar. al binomio consistente en un programa cliente que consigue datos de otro llamado servidor.. están almacenadas explícitamente con el fin de ayudar a la manipulación y el acceso a éstos. servicio o red.aplicaciones.Capacidad de lograr el efecto que se desea o se espera.Cliente o “programa cliente”. Esta técnica de consulta 'remota' se utiliza frecuentemente en redes como 'Internet'.Se denomina así. sin tener que estar obligatoriamente ubicados en el mismo ordenador. habilidades y actitudes del personal. Bases de Datos. Capacitación.. Bitácoras. es aquella en la que las conexiones entre los distintos elementos que forman la base de datos. es aquel programa que permite conectarse a un determinado sistema.Conjunto de atributos. organizada de tal modo que el ordenador pueda acceder rápidamente a ella.Toda acción organizada y evaluable que se desarrolla en una empresa para: modificar.. para posteriormente abrirlos y ver qué es lo que ha sucedido en cada momento.. mejorar y ampliar los conocimientos.Colección de datos pertenecientes a un mismo contexto..Es como el "diario" de algunos programas donde se graban todas las operaciones que realizan. COBIT: Control Objectives for Information and related Technology (Objetivos de Control para Tecnología de la Información y Relacionadas). que se refieren a las relaciones entre el nivel de rendimiento del software y. generando un cambio positivo en el desempeño de sus tareas. Eficacia. Cliente-Servidor. Cliente.. Eficiencia. los sistemas de redes y otros vinculados a la actividad informática.. la cantidad de recursos utilizados bajo unas condiciones predefinidas. 10 .

.Es el proceso utilizado para identificar y evaluar riesgos y su impacto potencial.Es toda información que utiliza el AI. Estándares: Es una especificación o modelos que regulan la realización de ciertos procesos o la fabricación de componentes para garantizar la interoperabilidad. presentar las recomendaciones que facilitarán la toma de decisiones. Son evidencias. Elemento del modelo. Evidencia. actividad. relacionada con la entidad. con el objetivo de fundamentar y respaldar sus opiniones y conclusiones. a partir de ella. para el control de la performance técnica y de los métodos utilizados por el personal involucrado en el Planeamiento y Análisis de los Sistemas de Información. Son las pruebas que obtiene el auditor... como resultado de un proceso de recopilación y síntesis de información: la suma y la organización lógica de información. situación o asunto que se haya revisado o evaluado. que hace patente y manifiesta la certeza o convicción.Estándar.Es toda regla aprobada o práctica requerida. que prueban y demuestran claramente éstos. Evidencia de auditoría. para llegar a conclusiones al respecto o para cumplir alguno de los objetivos de la auditoría.Es una abstracción destacada del sistema que está siendo modelado. Evaluación. 11 . Evaluación de Riesgo. Hallazgos. sobre los hechos o hallazgos. a las recomendaciones que este formula para que se adopten las medidas correctivas. Sirven de fundamento a las conclusiones del auditor y.. durante la ejecución de la auditoría. para determinar.. si el ente o los datos auditados siguen los criterios u objetivos de la auditoría.Es el proceso de recolección y análisis de información y.

Es el producto final del Auditor de SI.Son elementos de software.. dispositivos electrónicos y. herramientas de administración. que en conjunto dan soporte a las aplicaciones (sistemas informáticos) de una empresa. etc. Informática. que pueden utilizarse para brindar información para uso de auditoría. seguros. comunicaciones. lenguajes de programación. puestos de trabajo. los hallazgos. bases de datos.Conjunto de elementos de hardware (servidores. Irregularidades.Son las violaciones intencionales a una política gerencial establecida.Herramienta.. Herramienta de Control.. declaraciones falsas deliberadas u omisión de información del área auditada o de la organización. sistemas informáticos. Informe de Auditoría.) y servicios (soporte técnico.. constituye un medio formal de comunicar los objetivos de la auditoría.Consiste en que solo los usuarios autorizados puedan variar los datos. redes. conclusiones y recomendaciones. que permiten definir uno o varios procedimientos de control.).). 12 .Ciencia que estudia el tratamiento automático de la información en computadoras. Infraestructura tecnológica.Es el conjunto de elementos físicos utilizados para llevar a cabo las acciones y pasos definidos en la técnica. el alcance de auditoría y. enlaces de telecomunicaciones. el cuerpo de las normas de auditoría que se utilizan. para cumplir una normativa y un objetivo de control... software (sistemas operativos..Son programas computarizados.. Herramientas de Software de Auditoría. etc. Integridad. etc.

Aún cuando el término puede ser aplicado a las artes. animales o cosas.. según criterios de clase. son el conjunto de métodos que se rigen en una investigación científica o en una exposición doctrinal. así como el correcto desarrollo de una actividad.. en orden ascendente o descendente. Políticas. Metodología: Se refiere a los métodos de investigación que se siguen para alcanzar una gama de objetivos en una ciencia. almacena.. procesa. oficio. Objetivo de la auditoría.. comunica y presenta datos relacionados con el funcionamiento de la oficina.Es la disposición de personas. En resumen. autoridad o cualquier otro asunto que conduzca a un sistema de clasificación.. Auditoría.Es un contrato a largo plazo de un sistema de información o proceso de negocios. Son los objetivos a cumplir en el control de procesos.- Conjunto de disposiciones documentadas que regulan el comportamiento de un grupo de individuos.Son declaraciones sobre el resultado final deseado o propósito a ser alcanzado. poder. 13 .Jerarquía. mediante las protecciones y los procedimientos de control. Objetivo de Control. Ofimática. Outsourcing.Es el sistema informatizado que genera. cuando es necesario efectuar una observación o análisis más riguroso o explicar una forma de interpretar la obra de arte. o la pregunta que se desea contestar por medio de aquella. categoría. a un proveedor de servicios externos. Norma.Principio que se impone o se adopta para dirigir la conducta o la correcta realización de una acción. Normas de auditoría: Constituyen el conjunto de reglas que deben cumplirse. para realizar una auditoría con la calidad y eficiencia indispensables. recupera. Propósito o fin que persigue la auditoría.

14 . por medio de comparaciones con otros datos relevantes.Es un informe de fácil lectura.Adopción de medidas encaminadas a impedir que se produzcan deficiencias físicas. por tanto deben estar documentados y aprobados por la Dirección.. Procedimientos Generales de Auditoría. Prevención. Posibilidad de que no puedan prevenirse o detectarse errores o irregularidades importantes..Son los procedimientos operativos de las distintas áreas de la empresa. las responsabilidades y las restricciones del personal de una empresa.. obtenidos con una metodología apropiada. para la consecución de uno o varios objetivos de control y.Política interna. mentales y sensoriales (prevención primaria) o a impedir que las deficiencias. Procedimientos de Control.  Riego de control.Son aquellas que implican el estudio y evaluación de la información.. Pruebas de Cumplimiento. Error que no puede ser evitado o detectado oportunamente por el sistema de control interno. tengan consecuencias físicas.Son aquellas evidencias que determinan que (proporcionan evidencia de que) los controles claves existen y que son aplicables en forma efectiva y uniforme.Son los pasos básicos en la realización de una auditoría. Riesgo.Conjunto de normas... Existe un error que es significativo y se puede combinar con otros errores cuando no hay control. Pruebas Sustantivas. Resumen Ejecutivo. psicológicas y sociales negativas. reglas y disposiciones que regulan el comportamiento.. gramaticalmente correcto y breve. cuando se han producido. que presenta los hallazgos a la gerencia en forma comprensible.  Riesgo inherente.

que se ejecuta al iniciar el equipo. los UPS cumplen la función de mejorar la calidad de la energía eléctrica que llega a las cargas. para realizar las verificaciones planteadas en los programas de auditoría. perdida de data. brindando una interfaz con el usuario. como el filtrado. que tienen como objetivo la obtención de evidencia. Técnicas de auditoría. un conjunto de programas de computadora. bajadas de tensión (caídas). Adicionalmente. Se realizan pruebas exitosas a partir de un procedimiento de prueba inadecuado. interrupción de energía. etc. o al iniciar una máquina virtual y. protección de subidas (picos de tensión). Riesgo de detección. Comienza a trabajar cuando es cargado en memoria por un programa específico. gestiona el hardware de la máquina desde los niveles más básicos. UPS: Es un dispositivo que proveen y mantiene energía eléctrica de respaldo en caso de interrupciones eléctricas o eventualidades en la línea o acometida. apagones y eliminación de corrientes parasitarías como ruidos. Sistema Operativo: Software de sistema. Métodos que el auditor emplea. destinado a permitir una administración eficaz de sus recursos. 15 . es decir.

se elaboraron las pruebas sustantivas (checklist) y se recopilaron evidencias. - Se elaboraron encuestas al personal de la entidad. El fin de esta revisión técnica es identificar debilidades y emitir recomendaciones que permitan minimizar riesgos. que propone COBIT. Para llevar a cabo la presente Auditoría.RESUMEN presente trabajo. Utilizando COBIT . - Tomando como base las encuestas y las entrevistas. se realizaron las siguientes actividades: - Entregar un listado de requerimientos a la entidad a ser auditada. Ltda. para profundizar en la indagación. - De acuerdo a los resultados obtenidos en las encuestas. se llevaron a cabo las entrevistas que constituye un método de auditoría personalizada. realizada a la Cooperativa de Ahorro y Crédito “Alianza del Valle”. se presentaron las observaciones y recomendaciones emitidas en un informe a la Gerencia. alineando todos estos resultados con cada objetivo de control. con el fin de aclarar ciertos puntos de la documentación. ayudar a los administradores de negocios a entender y administrar los riesgos asociados con la implementación de nuevas tecnologías. Revisar la documentación entregada al Equipo de Auditoría. una herramienta desarrollada para. Se formularon preguntas. 16 . En base a los resultados obtenidos. las buenas prácticas de COBIT están enfocadas en el ambiente de control óptimo que debe tener una empresa para de esta manera lograr una alineación efectiva entre TI y los objetivos de negocio. entrevistas y pruebas sustantivas y. describe la Auditoría Informática de los Sistemas de ElTecnología e Información.

describiendo las debidas conclusiones y recomendaciones. relacionados con el ambiente de control. sus generalidades. Para hacer una adecuada planeación de la auditoría en informática. hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar. La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información. las habilidades necesarias para llevar a cabo la misma. En el capítulo 5 se presentan las conclusiones y recomendaciones obtenidas a lo largo del presente trabajo. 17 . el cual es usado para este trabajo. En el capítulo 1 se detallan los objetivos y alcances del presente estudio. El capítulo 2 indica el modelo COBIT. En el capítulo 3 se presenta la Aplicación del Modelo en la Cooperativa de Ahorro y Crédito “Alianza del Valle”. requieren el desarrollo. organización y equipo. describiendo los productos Cobit 4.0. sus sistemas. los controles de TI. En el capítulo 4 se presenta el informe y resultados del caso práctico.PRÓLOGO La naturaleza especializada de la auditoría de los sistemas de información y. sus procesos y. debidamente justificados. incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes. además se exponen algunos conceptos y parámetros que definen a la Auditoría Informática. la generación y la promulgación de Normas Generales para la auditoría de los Sistemas de Información. sus respectivos dominios y las ventajas sobre otros modelos.

la calidad de los productos que se desean entregar. similar a la materia prima. se debe destacar que. sin embargo.1 DESCRIPCIÓN GENERAL DEL PROYECTO Antecedentes Los Sistemas Informáticos. a pesar de la capacidad que pueden tener los miembros de la Dirección de Sistemas de la Cooperativa Alianza del Valle. De ahí parte una necesidad de la Escuela Politécnica del Ejército. necesariamente se tomen alternativas rápidas para ganar tiempo. que se maneja en los diversos procesos de la Cooperativa Alianza del Valle. debemos considerar que. para servicio del cliente interno en este caso.CAPÍTULO I AUDITORÍA INFORMÁTICA DE LOS SISTEMAS TECNOLÓGICOS DE INFORMACIÓN 1. están integrados a la gestión empresarial. centrado mayormente en el desarrollo de sistemas y redes. por ello. las normas y estándares informáticos deben estar alineados e implantados previa la aprobación de la Dirección de Sistemas de la organización. la cantidad de trabajo. las organizaciones informáticas forman parte de la gestión de la empresa y se constituyen en un elemento de apoyo en la toma de decisiones. en consecuencia. sin el personal suficiente hace que. afectando de esta manera. como parte del proceso de formación de profesionales en la Carrera de Ingeniería 18 . la información institucional. Actualmente. misma que se encargará de la implementación de controles de acceso a la información.1. se ha convertido en un activo fijo real invaluable.1 GENERALIDADES 1.

redes y comunicaciones. que proponga soluciones efectivas. necesita corregir fallas. el desarrollo constante del país. que ayuden a determinar con 1 1 Definición Informática por el Ingeniero Philippe Dreyfus Definición Informática: http://www. ejecución de proyectos.mastermagazine. sistemático. La evaluación de los sistemas de información. El análisis de los Objetivos de Control con COBIT1.php 19 .2 JUSTIFICACIÓN E IMPORTANCIA El desarrollo tecnológico que enfrenta la Cooperativa de Ahorro y Crédito “Alianza del Valle”. cooperando en el desarrollo del país. procedimientos e informes relacionados con los sistemas de información computarizados. 1. basado en evidencias. bajo normas y metodologías aprobadas a nivel internacional. a la vez que colaboran con el desarrollo intelectual y personal en las empresas públicas y privadas y. y recomendar procedimientos que permitan minimizarlos o eliminarlos. que certifiquen la formación de graduados. crítico. deberá cubrir aspectos de planificación.com/maletin/articulos/que-es-informática. entregarlos en el momento oportuno.info/termino/5368. seguridades. organización. ejecutar procesos de calidad y.php 1 Definición Informática: http://www. funciones. con el manejo de diversos sistemas de información y automatización en sus procesos.en Sistemas e Informática. para minimizar riesgos y mejorar el empleo de la tecnología de información en la organización. detectar los errores mediante una Auditoría Informática. prácticas.webtaller. normas. realizada y ejecutada por un grupo capacitado. procesos. equipos. procesos. que permiten obtener una opinión profesional e imparcial. mediante la elaboración de tesis de grado.1. debe ser de carácter objetivo e independiente. con el objeto de determinar los riesgos a los que se encuentra expuesta la Cooperativa “Alianza del Valle” Ltda. que seleccione políticas. enfocada en aspectos como: criterios de información y prácticas requeridas.

eficiencia. mediante el uso de un conjunto de procedimientos y técnicas. abarcan los siguientes aspectos:  Identificación de Soluciones Automatizadas: donde se utilizaran criterios de información sobre efectividad y eficiencia en los procesos del 20 . profundizando conceptos de control interno y procedimientos que se ejecutan.3 ALCANCE DEL PROYECTO El presente proyecto de plan de tesis “AUDITORÍA INFORMÁTICA DE LA COOPERATIVA DE AHORRO Y CREDITO “ALIANZA DEL VALLE” LTDA”. la validez de la información y efectividad de los controles establecidos. eficiencia y efectividad. Como parte del sistema de administración de la Cooperativa Alianza del Valle.1. con el fin de constatar si sus procesos y actividades son correctos y. requiere que. está orientado a la revisión del control interno informático del Departamento de Sistemas de la Cooperativa de Ahorro y Crédito “Alianza del Valle”.. el uso de los recursos informáticos. justificar su costo y determinar medidas que permitan su racional aplicación. para la evaluación y auditoría del ambiente informático de la Cooperativa de Ahorro y Crédito “Alianza del Valle” Ltda. Se utilizará el estándar COBIT 4. Los módulos en los que se ejecuta este proyecto. se encuentran enmarcados y en conformidad con las mejores normativas informáticas y generales de la organización.0. 1. para de esta manera. La situación actual por la que atraviesa la Dirección de Sistemas de la Cooperativa Alianza del Valle. se hace evidente la necesidad de evaluar y valorar el uso de los recursos de TI. se proceda a evaluar y controlar los sistemas de información y el ambiente informático.

Las prácticas de control que se aplican son:  Niveles de aceptación y pruebas funcionales. requeridos para la Cooperativa Alianza del Valle y.  Cumplimiento con la arquitectura de información. llegando a proporcionar funciones automatizadas que soporten efectivamente los procesos del negocio y la especificación de los requerimientos funcionales y operacionales2.  Definición de los requerimientos de información.  Adquisición y Mantenimiento del Software de Aplicación: los criterios de información que se aplican. siendo estos:  Conocimiento de soluciones existentes en el mercado.  Metodologías de adquisición e implementación.  Seguridad y control de Costo-Beneficio. etc. - 2 http://www. se enmarcan sobre parámetros de efectividad.  Documentación requerida.  Estudios de factibilidad (costo. eficiencia.  Arquitectura de la información empresarial. integridad. operatividad.com/ 21 .  Requerimientos de funcionalidad.  Orientación a las estrategias de TI y de la Cooperativa Alianza del Valle. alternativas. beneficio. cumplimiento y confiabilidad.  Involucramiento del usuario en el proceso de compra. aceptación. así satisfacer los requerimientos de los usuarios.  Responsabilidad de los proveedores. Las prácticas de control que se utilizan en este módulo están directamente involucrados con los recursos de TI.auditoríasistemas.negocio.  Ciclo de vida del software. sostenimiento y mantenimiento.  Requerimientos de seguridad y controles de la aplicación.).

 Interface de usuario.  Evaluación tecnológica.  Seguridad del software. cumplimiento. Las prácticas de control  Consideración a los procedimientos como a cualquier otra tecnología existente.  Actualizaciones. son:  Rediseño de los procesos de negocio. llegando a que el proceso del negocio asegure el uso apropiado de las aplicaciones y la infraestructura estructurados existente. materiales entrenamiento y requerimientos de servicio.  Instalación. mantenimiento y control de cambios. estandarización de software y. conversiones y. La forma de lograrlo se dirige a una adquisición apropiada de hardware y software. integridad.  Responsabilidades de los proveedores y la relación con los mismos.  Adquisición y Mantenimiento de la Infraestructura Tecnológica: definidos sobre los criterios de información de efectividad. guiados sobre la efectividad. Ciclo de vida metodológico para el desarrollo de aplicaciones. planes de migración. eficiencia e integridad.  Costo total de propiedad.  El uso de infraestructura y/o recursos internos y externos. de con y la sustentación de manuales de usuarios operacionales. 22 .  Personalización de paquetes. un consistente sistema de administración. eficiencia. proveyendo al proceso de las plataformas apropiadas a las aplicaciones del negocio.  Administración de cambios. confiabilidad. Las prácticas de control que se definen en esta etapa son:  Cumplimiento de las directrices y estándares de la infraestructura tecnológica.  Desarrollo y Mantenimiento de Procesos: manejaremos algunos criterios de información.

manejando eficacia.  Requerimientos continuos del negocio. interrupciones y cambios no autorizados. tecnologías e instalaciones. Desarrollo a tiempo. Algunas de las prácticas de control se describen a continuación:  Identificación de cambios.  Procedimientos y controles operacionales.  Participación del usuario final en la etapa de pruebas. Con el manejo apropiado de los recursos humanos. en base al propósito deseado y los criterios de información de efectividad.  Planes de continuo mejoramiento de calidad. con la realización de un plan formalizado de instalación migración y conversión.  Acuerdos y criterios de aceptación.  Criterios y medidas de aceptación. integridad y disponibilidad. integridad.  Administración de cambios. eficiencia.  Instalación y Acreditación de Sistemas: el proceso de negocio requerido sobre la verificación y confirmación de soluciones adecuadas.  Materiales de entretenimiento. un seguimiento de todos los cambios requeridos y desarrollados a la infraestructura tecnológica actual.  Procedimientos de emergencia. 23 . disponibilidad y confiabilidad de un sistema de administración. que permita realizar una implementación. Las prácticas de control que se utilizan en este módulo se fusionan con los recursos de TI y.  Administración de Cambios: se encarga de la minimización de alteraciones. aplicaciones. categorización y priorización. estas son:  Entrenamiento de usuarios y del personal técnico de TI  Conversión de Datos.  Un ambiente de pruebas que refleje el ambiente real.  Retroalimentación y revisiones post implementación.  Procedimientos y controles de usuario.

tácticas e infraestructura tecnológica de información.0.4 OBJETIVOS General Realizar una Auditoría Informática del Sistema de Información de la Cooperativa Alianza del Valle. establecidos en el proyecto del Departamento de Sistemas aplicando el estándar internacional COBIT 4.  Rediseño de los procesos del negocio. enfocándose en las estrategias. organización y situación actual de los Sistemas de Información de la Cooperativa Alianza del Valle. cambios y mantenimiento realizado a los sistemas existentes. que contribuyen al logro de los objetivos del negocio. Específicos - Evaluar y describir la planeación. para lo cual.1. utilizando el estándar internacional COBIT 4. - Evaluar la adquisición e implementación de las TI.  Autorización para cambios. El proyecto de tesis será ejecutado en el Departamento de Sistemas de La Cooperativa Alianza del Valle. Análisis de impacto. a fin de identificar debilidades y emitir recomendaciones que permitan eliminar o minimizar los riesgos en la organización. ubicado en la ciudad de Sangolquí.  Administración de versiones.  Distribución de software.  Administración de la configuración. 1.0. los procesos en los que estas se desenvuelven. así como la verificación de la calidad y suficiencia 24 . se realizará la revisión de los controles mencionados con anterioridad y.  Uso de herramientas automatizadas.

AMBIENTE DE CONTROL El ambiente de control se determina por el conjunto de circunstancias que enmarcan el accionar de una entidad. sobre las conductas y los procedimientos organizacionales. El sistema de control interno está relacionado directamente con las actividades operativas y de procedimiento dentro de la organización y. - Aplicar el estándar COBIT4. existen por razones empresariales fundamentales y. confidencialidad y confiabilidad de la información. - Evaluar la entrega de los servicios requeridos. el monitoreo de los requerimientos de control. frecuentemente clasificados como controles de aplicación. organización o empresa. ayudan a garantizar la fiabilidad de los estados financieros y el cumplimiento de las leyes y normas vigentes. efectuado por el 25 . a los procesos de la Cooperativa Alianza del Valle. continuidad del negocio. - Emitir recomendaciones que permitan asegurar una mayor integridad. reducen el riesgo de pérdida de valor de los activos y. en base a un estudio y aplicación de metodologías. desde una perspectiva de control interno y que son determinantes para el cumplimiento de las metas y objetivos de la organización en que los principios y políticas actúan.1. desde las operaciones tradicionales hasta el entrenamiento al personal que interfiere directamente con las Tecnologías de Información.de los procesos de la Institución y. revisión del procesamiento de los datos por sistemas de aplicación. a que estos fomentan la eficiencia. 1.0 en la evaluación y auditoría de sistemas de la Cooperativa Alianza del Valle. abarcando aspectos de seguridad. El ambiente control se puede definir como un proceso.

La estructura del plan organizacional. es necesario realizar evaluaciones al ambiente de control que permitan identificar los riesgos y definir los controles adecuados para neutralizarlosy . objetivos e indicadores de Cada uno de estos factores ayudan a que las organizaciones crezcan y cumplan sus principales objetivos.   Las formas de asignación de responsabilidades. que contengan metas. siendo los más importantes los siguientes:    La filosofía y el estilo de la dirección y gerencia. De acuerdo a estos factores. valores éticos y competencias. 26 . La integridad. los reglamentos y los manuales de procedimientos. El grado de documentación de políticas. La definición es amplia y cubre todos los aspectos de control de un negocio.a que el núcleo principal de control son las personas. así como su adhesión a las políticas y objetivos establecidos.personal de una organización. los valores éticos. diseñado para conseguir objetivos específicos. la competencia profesional y el compromiso de todos los colaboradores de la organización. de administración y desarrollo del personal. que permiten el éxito o fracaso de las mismas. por lo cual. si no tienen una integridad probada. Los auditores deben considerar factores que influyen en la organización y que garantizan el éxito de sus procesos internos. mismas que. el resto de procesos posiblemente no funcionarán. Fiabilidad de la información financiera. pero al mismo tiempo. siendo estos criterios:    Eficacia y eficiencia de las operaciones. decisiones y de formulación de programas rendimiento. Cumplimiento de las leyes y normas aplicables. permite centrarse en objetivos específicos.

la utilización racional de los recursos. Para que una auditoría sea exitosa. la consecución de los objetivos gerenciales y.debe establecerse un adecuado ambiente de control sobre el que se desarrollan las operaciones de la organización evaluada. con eficiencia y eficacia. 1. debe tomar en cuenta muchos de los aspectos tratados en el punto anterior. EL PROCESO DE LA AUDITORÍA INFORMÁTICA El proceso de la auditoría informática es similar al que se lleva a cabo a los de estados financieros. los objetivos principales son: salvaguardar los activos. asegurar la integridad de los datos. A continuación se muestra un grafico que muestra cómo actúan conjuntamente todos los componentes. para que se genere una auditoría efectiva y eficaz. tanto de la empresa como del auditor. Gráfica 1: Pirámide de procesos 27 . en el cual. para lo que se realiza la recolección y evaluación de evidencias.2.

Elementos Principales de esta Fase: 1. se debe investigar y analizar todo lo relacionado con la entidad a auditar. Este análisis debe contemplar: su naturaleza operativa. su estructura organizacional. Previo a la elaboración del plan de auditoría.Muchos de los componentes de la pirámide nacen de un proceso de auditoría. Conocimiento y Comprensión de la Entidad a auditar. Análisis de los Riesgos 5. capital. Planeación Específica de la auditoría 6. giro del negocio. sistema contable que utiliza. Elaboración de programas de Auditoría 1. Análisis Preliminar del Control Interno 4. disposiciones legales que la rigen. el cual se detalla a continuación y al cual hemos dividido en 3 etapas:    Planificación de la auditoría Informática Ejecución de la auditoría Informática Finalización de la auditoría Informática 1. Conocimiento y Comprensión de la Entidad 2.1. acerca de su organización. Se hace un bosquejo de la situación de la entidad. 28 . para poder elaborar el plan en forma objetiva. estatutos de constitución. volumen de sus ventas y. Objetivos y Alcance de la auditoría 3. para determinar el alcance y objetivos. controles internos. estrategias y demás elementos que le permitan al auditor elaborar el programa de auditoría que se llevará a efecto. todo aquello que sirva para comprender exactamente cómo funciona la organización.2. sistema contable. Planificación de la auditoría Informática En esta fase se establecen las relaciones entre auditores y colaboradores de la organización.

Para el logro del conocimiento y comprensión adecuados de la entidad. en que va a desarrollarse la auditoría informática. se deben establecer diferentes mecanismos o técnicas que el auditor deberá dominar. para qué y por qué. g) Árbol de Problemas 2. Por otro lado. siendo entre otras: a) Visitas al lugar b) Entrevistas y encuestas c) Análisis comparativos de Estados Financieros d) Análisis FODA (Fortalezas. amenazas) e) Análisis Causa-Efecto o Espina de Pescado f) Árbol de Objetivos. se complementa con los objetivos de ésta.Desdoblamiento de Complejidad. o si es por cumplimiento de los estatutos que mandan efectuar auditorías anualmente.. Análisis Preliminar del Control Interno Este análisis es de vital importancia en esta etapa. Los objetivos indican el propósito para el cual es contratada la firma de auditoría. siempre se cumple con el objetivo de informar a los socios. podría ser hasta de varios años. El alcance de una auditoría ha de definir con precisión el entorno y los límites. a la gerencia y resto de interesados sobre la situación encontrada para que sirvan de base para la toma de decisiones. de un mes. qué se persigue con el examen. debilidades. oportunidades. el alcance también puede estar referido al período a examinar: puede ser de un año. 3. porque de su resultado se comprenderá la naturaleza y extensión del plan de auditoría 29 . de una semana y. en todo caso. Objetivos y Alcance de la auditoría. Si es con el objetivo de informar a la gerencia sobre el estado real de la empresa.

La Materialidad es el error monetario máximo que puede existir en el saldo de una cuenta.y. 5. está relacionado con el trabajo del auditor y. sin dar lugar a que los estados financieros estén sustancialmente deformados. Este plan debe ser técnico 30 . A la materialidad también se le conoce como Importancia Relativa. En auditoría se conocen tres tipos de riesgo: Inherente. representa la posibilidad de que el auditor exprese una opinión errada en su informe. está relacionado con la posibilidad de que los controles internos imperantes no prevean o detecten fallas que se están dando en sus sistemas y que se pueden remediar con controles internos más efectivos. El riesgo de control. El riesgo de detección. la valoración y oportunidad de los procedimientos a utilizarse durante el examen. Para cada auditoría que se va a practicar. Planeación Específica de la Auditoría. de Control y de Detección. no detecte errores en la información que le suministran. 4. se debe elaborar un plan. al margen de la efectividad del control interno relacionado. Esto lo contemplan las Normas para la ejecución. es que éste en la utilización de los procedimientos de auditoría. Análisis de los Riesgos El Riesgo en auditoría. son errores que no se pueden prever. es la posibilidad de que existan errores significativos en la información auditada. debido a que los estados financieros o la información suministrada a él estén afectados por una distorsión material o normativa. El riesgo inherente.

objeto de su examen. el programa detallado de los objetivos y procedimientos de auditoría. cada uno debe tener los objetivos que se persiguen con el examen y los procedimientos que se corresponden para el logro de esos objetivos planteados. debe tener en sus manos. Ejemplo: si un auditor va a examinar el efectivo y otro va a examinar las cuentas por cobrar. sino por ciclos transaccionales. personal que conformarán los equipos de auditoría. horas hombres. constituye la recopilación de la mayor cantidad de información necesaria. Ejecución de la auditoría Informática La ejecución de la auditoría informática.2.y administrativo. así sucesivamente. El plan administrativo debe contemplar todo lo referente a cálculos monetarios a cobrar. que debe haber un programa de auditoría para la auditoría del efectivo y un programa de auditoría para la auditoría de cuentas por cobrar y.2. como son documentos y evidencias que permitan al auditor fundamentar sus comentarios. Es decir. sugerencias y recomendaciones. 1. Elaboración de Programa de Auditoría Cada miembro del equipo de auditoría. También se pueden elaborar programas de auditoría no por áreas específicas. De esto se deduce que un programa de auditoría debe contener dos aspectos fundamentales: Objetivos de la auditoría y Procedimientos a aplicar durante el examen de auditoría. 6. 31 . con respecto al manejo y administración de TI. etc.

el cual debe ser realizado utilizando un criterio profesional por parte de los auditores y el equipo a cargo del proceso de Auditoría. para poder dar una opinión sobre un sistema o proceso informático. procedemos a evaluar y probar la manera en la que han sido diseñados los controles en la organización.Para la recolección de información. justificar de manera correcta las recomendaciones. b) Evidencia física. toda la información recopilada debe ser clasificada de manera que nos permita ubicarla fácilmente y además permita. Una vez que tenemos información real y confiable. se pueden aplicar las siguientes técnicas:       Entrevistas Simulación Cuestionarios Análisis de la información documental entregada por el auditado Revisión y Análisis de Estándares Revisión y Análisis de la información de auditorías anteriores Toda la información entra luego en un proceso de análisis. para el mejoramiento continuo de la misma. para esto el equipo de Auditoría utilizara medios informáticos y electrónicos que permitan obtener resultados reales. d) Evidencia testimonial. debe comprobar el funcionamiento de los sistemas 32 . luego del análisis respectivo. La evidencia se clasifica de la siguiente manera: a) Evidencia documental. c) Evidencia analítica. El equipo de auditores.

en base a que se realizó la auditoría.0. Finalización de la auditoría Informática Para finalizar un proceso de Auditoría Informática. lo más común es el de riesgos y el de objetivos de control. 3 Mckeever. Indicar los objetivos que se propusieron alcanzar con el proceso de auditoría. México (1984) 33 . Luego. se debe presentar un informe que contenga conclusiones y recomendaciones. También se debe indicar. 1. necesarias para que una empresa este en mejoramiento continuo.  Se debe indicar el criterio sobre el cual se está evaluando.3. esta documentación debe ser redactada por el equipo de Auditoría y entregarse a la Alta Dirección de la empresa para su evaluación y análisis. en el caso de COBIT 4. evaluaran los resultados del proceso.de aplicación y efectuar una revisión completa de los equipos de cómputo3. en el caso de utilizar COBIT 4. El informe que presenta el grupo de Auditores debe contener como obligatorios los siguientes puntos:     Debe hacer constar el período de tiempo que abarcó la evaluación.0. en conjunto la Alta Dirección de la empresa y auditores. los auditores defenderán su punto de vista basándose en las evidencias recolectadas durante todo el proceso. se debe especificar el dominio que fue utilizado para la evaluación.  Se detalla la condición inicial en la que se encontró la empresa u organización.2. Editorial Mc Graw Hill. “Sistemas de Información para la Gerencia”. J. esto debe especificarse claramente en el plan de trabajo que también debe ser entregado a la administración. Indicar el equipo de auditoría que intervino en la evaluación. se detallan los integrantes y su experiencia en el campo de auditoría.

Se describen las causas que generaron el diagnóstico inicial, además, se debe detallar las consecuencias que puede traer si la empresa continua manejándose de la misma forma.

Detallar explicativamente las recomendaciones que se hacen a la Alta Dirección y qué medidas se deberían adoptar para poder cumplir con los objetivos propuestos desde el inicio y, la organización deje de ser afectada por circunstancias que fueron encontradas en la situación inicial.

Dentro de los informes también incluye las opiniones y puntos de vista de la administración, debe especificarse si la organización va a adoptar o no las recomendaciones propuestas por el grupo de auditores.

El informe final se lo debe entregar a la Alta Dirección

de la

organización y como detallamos inicialmente, debemos presentar las evidencias de percances más importantes que se encontraron durante el proceso de Auditoría.

1.3. CLASIFICACIÓN DE LOS CONTROLES TI

Al momento de realizar un proyecto de auditoría, se desarrollan una gran variedad de actividades de control para verificar la exactitud, integridad y autorización de las transacciones. Estas actividades pueden agruparse en dos grandes conjuntos de controles de los sistemas de información, los cuales son: controles de aplicación y los controles generales de la computadora. Sin embargo, estos dos conjuntos de controles se encuentran estrechamente relacionados, puesto que, los controles generales de la computadora, son normalmente necesarios para soportar el funcionamiento de los controles de aplicación, además de la efectividad de ambos depende el aseguramiento del procesamiento completo y preciso de la información. .

34

1.3.1. Controles de Aplicación

Los

controles

de

aplicación

son

procedimientos

manuales

o

automatizados que operan típicamente a nivel de los procesos de la organización. Los controles de aplicación pueden ser de naturaleza preventiva o de detección y están diseñados para asegurar la integridad de la información que se procesa en ellos. Debido a lo cual, los controles de aplicación se relacionan con los procedimientos utilizados para iniciar, registrar, procesar e informar las transacciones de la organización. Estas actividades de control ayudan a asegurar que las transacciones ocurridas, estén autorizadas y completamente registradas y procesadas con exactitud.

Debido al tamaño y complejidad de varios sistemas, no siempre se los podrá revisar a todos, por lo que es necesario evaluar los sistemas de aplicación para considerar en el plan de auditoría los sistemas de aplicación que tienen un efecto significativo en el desarrollo de las operaciones de la organización, con el fin de realizar un análisis más profundo de estos sistemas. Existen varios parámetros que se deben considerar para calificar los sistemas de aplicación, siendo los siguientes:

- Importancia de las transacciones procesadas. - Potencial para el riesgo de error incrementado debido a fraude. - Si el sistema sólo realiza funciones sencillas, como acumular o resumir información o funciones más complejas, como la iniciación y ejecución de transacciones. - Tamaño y complejidad de los sistemas de aplicación.

Se debe incluir los controles implantados, para verificar la validez del ingreso de datos dentro de los sistemas, controles que podemos evaluar mediante el seguimiento manual de los informes de excepción o la corrección en el punto de entrada de datos. Debido al tamaño y complejidad de varios sistemas, no siempre se los podrá revisar a todos, por lo que es necesario evaluar los sistemas de aplicación para 35

considerar en el plan de auditoría aquellos que tienen un efecto significativo en el desarrollo de las operaciones de la organización, con el fin de realizar un análisis más profundo de estos sistemas.

1.3.2. Controles Generales

Los controles generales son políticas y procedimientos que se relacionan con muchos sistemas de aplicación y, soportan el

funcionamiento eficaz de los controles de aplicación, ayudando a asegurar la operación continua y apropiada de los sistemas de información. Los controles generales mantienen la integridad de la información y la seguridad de los datos. Es por esto que antes de realizar una evaluación de los controles de aplicación, normalmente se actualiza la comprensión general de los controles del ambiente de procesamiento de la computadora y se emite una conclusión acerca de la eficacia de estos controles.

Las actividades que se llevan a cabo para la evaluación de estos controles, inician con entrevistas a la administración, luego de las cuales se tendrá una mejor capacidad para comprender y definir la estrategia y las pruebas que realizaremos sobre los controles. Posteriormente, se debe determinar si los controles generales de la computadora se diseñan e implementan para soportar el procesamiento confiable de la información, respecto a los controles que se han identificado, para lo cual se debe realizar lo siguiente:

-

Evaluación del diseño de los controles, en la que se determinará que los controles evitan los riesgos para los que fueron diseñados.

-

Determinar si los controles se han implementado, lo cual consiste en evaluar si los controles que se han diseñado y, se están utilizando durante el tiempo de funcionamiento de la organización.

36

0 tiene como misión desde sus inicios investigar. Los gerentes. auditores y usuarios se benefician del desarrollo de COBIT 4.0 del Modelo COBIT puesto que. Los proyectos de auditoría Informática. Se adoptó la versione 4.0: uso de estándares internacionales. a la auditoría informática. INTRODUCCIÓN COBIT 4. publicar y promover un conjunto de objetivos de control en tecnología de la información con autoridad. formado por procesos manuales e informáticos.0 ya que permite un enfoque distinto y actual de los sistemas.1. de carácter internacional y aceptado generalmente para el uso cotidiano de gerentes de empresas y auditores. en el presente proyecto de tesis guiado.CAPÍTULO II Modelo COBIT 4. además permite definir qué control es el necesario para proteger los activos de sus empresas mediante el desarrollo de un modelo de gobernación TI.0 ya que este les ayuda a entender y comprender el nivel de seguridad de sus sistemas TI. debidamente actualizados.  Versión 1. por cuanto los mira en su ámbito global. desarrollar.0 2. 37 . se ha decidido tomar como base al Modelo COBIT versión 4. una vez que se realizó un análisis de todas las versiones de COBIT se identificaron las siguientes características en cada una de ellas. necesitan de una base o estándar para guiarse. las pautas y la investigación en las mejores prácticas condujeron al desarrollo de los Objetivos del control.

estándares profesionales y los requisitos de la industria.2.0 los productos se han definido en tres niveles. CONTENIDO (PRODUCTOS COBIT) En el Modelo de COBIT 4. para que de él pueda determinar las mejores opciones a ser puestas en práctica y las mejoras del control sobre su información y tecnología relacionada.  Versión 3. códigos de la conducta. estándares de calidad.0: consiste en proveer a la gerencia un uso del marco de referencia. como se detalla en la Gráfica 2. 2.0 38 .  Versión 4.0: acentúa el cumplimiento regulador. ayuda a las organizaciones a aumentar el valor logrado de TI ya que posee un enfoque más gerencial que permite la alineación y simplifica la puesta en práctica del Modelo COBIT. los mismos que dan soporte a: Administración y consejos ejecutivos. “proporcionar la información que la empresa requiere para lograr sus objetivos” y que “la empresa necesita administrar y controlar los recursos de TI. 4 GOVENANCE INSTITUTE COBIT 4. COBIT. control y seguridad.0 se basa en los principios de. Administración del negocio y de Tecnología de Información.  Luego de este análisis se concluyó que la versión 4. dedicados a la compilación. usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de información”4. revisión e incorporación apropiada de los estándares técnicos internacionales. Versión 2. aseguramiento. como se relacionan con el marco y con los objetivos del control individual.0: análisis de fuentes internacionales. Profesionales de gobierno.

un entendimiento más detallado de los conceptos y principios de auditoría de Sistemas.2. es la base para el desarrollo de los demás elementos COBIT.1.2. Resumen Ejecutivo El Resumen Ejecutivo. 2. herramientas que faciliten el cumplimiento de esta responsabilidad. para alcanzar sus objetivos. 39 . que el negocio requiere.Gráfica 2: Paquete de programas de COBIT 2. identificando los cuatro dominios de COBIT y sus 34 procesos de TI. Marco Referencial El Marco Referencial COBIT. consiste en una descripción que proporciona una conciencia cuidadosa y el entendimiento de los conceptos claves de COBIT. proporcionando al propietario de los procesos del negocio. El marco referencial explica como los procesos de TI deben entregar la información. es decir.2.

El Marco Referencial. Los Objetivos de Control de COBIT son los requerimientos mínimos que debe cumplir un control de cada proceso de TI. 2. Estas Guías de Auditoría provistas por COBIT no son específicas. por medio del principio de reingeniería de negocios. mediante las que la gerencia de la entidad auditada puede cumplir de una manera más óptima con los Objetivos de Control. es la definición del resultado o propósito que se desea alcanzar siguiendo procedimientos de control específicos dentro de una Actividad de Control de TI.3. confidencialidad. eficiencia. dependiendo de la entidad y están orientadas para proveer a la gerencia actividades que le permitan. datos) son importantes para apoyar a los objetivos del negocio. tecnología. Los Objetivos de Control están definidos y orientados a los procesos. permite también definir.4. Guía o Directriz de Auditoría Las Guías de Auditoría indican pautas y recomendaciones. si la información procesada para cumplir con los objetivos del negocio se están adaptando a los criterios de información (efectividad. monitorear el 40 . para que sea definido como efectivo.2. mantener bajo control la información de la empresa y sus procesos relacionados. instalaciones. Objetivos de Control Un Objetivo de Control en TI. cumplimiento y confiabilidad). A los que se les debe analizar como un todo ya que representan las características de un proceso bien administrado. disponibilidad. integridad. sino son acciones genéricas que se pueden poner en práctica en mayor o menor grado. Cada uno de los procesos de TI de COBIT tiene un objetivo de control de alto nivel y un número de objetivos de control detallados. así como también define cuales de los recursos de TI (sistemas de aplicación.2. 2.

Prácticas de Control Las Prácticas de Control proveen guías para diseñar controles y cómo implementarlos. También las Guías de Administración proveen factores críticos de éxito específico.2. Guías de Administración Las Guías de Administración o directrices gerenciales. 2.6. indicadores claves por objetivo e indicadores clave de desempeño.7. que sirven para determinar en qué posición se encuentra la organización. las cuales pueden ser utilizadas por otras organizaciones. 2. puesto que ayudan al personal encargado de diseñar e implementar controles específicos a administrar riegos en proyectos de TI.2. 41 . Además las Prácticas de Control ayudan a mejorar el rendimiento de TI ya que definen mejores prácticas para evitar el incumplimiento o mal uso de controles internos. que son las mejores prácticas administrativas para alcanzar los Objetivos de Control en TI.logro de las metas organizacionales. obteniendo resultados exitosos.5. Conjunto de Herramientas de Implementación El Conjunto de Herramientas COBIT proporciona lecciones aprendidas por aquellas organizaciones que aplicaron COBIT. 2. contienen modelos de madurez asociado al gobierno de TI.2. monitorear el desempeño de cada proceso de TI y llevar a cabo un benchmarking de los logros organizacionales.

para proporcionar asistencia en el análisis del ambiente de control de TI en una organización.3. los proveedores de servicios.Estas herramientas incluyen dos particularmente útiles: o Diagnóstico de Sensibilización Gerencial (Management Awareness Diagnostic). 2. Orientado a Negocios El Modelo de COBIT es orientado a negocios ya que se encuentra diseñado para ser una guía para la gerencia.3.1. GENERALIDADES DEL MODELO COBIT 2. Marco de Trabajo de COBIT El modelo de COBIT fue creado para ser orientado a negocios y procesos. basados en los principios básicos de COBIT. 42 .3. propietarios de los procesos de negocio.1. Siendo la Información el resultado de la aplicación combinada de recursos relacionados con la Tecnología de Información. 2. El Marco de Trabajo de COBIT ofrece herramientas para garantizar la alineación de la administración de TI con los requerimientos del negocio. basado en controles e impulsado por mediciones. o Diagnóstico de Control en TI (IT Control Diagnostic).1. Además es el enfoque de control en TI que se lleva a cabo visualizando la información necesaria para dar soporte a los procesos del negocio. usuarios y auditores de TI. que deben ser administrados por procesos TI.

Gráfica 3: Principios básicos de Cobit

En donde los requerimientos de información del negocio,

deben

adaptarse a ciertos criterios de información, para que la misma permita cumplir con los objetivos de la organización, los cuales son:  Efectividad: la información relevante y pertinente al proceso del negocio existe y es entregada a tiempo, correcta, consistente y utilizable.  Eficiencia: es la optimización (más económica y productiva) de los recursos que se utilizan para la provisión de la información.  Confidencialidad: es relativo a la protección de información sensitiva de acceso y divulgación no autorizada.  Integridad: se refiere a lo exacto y completo de la información, así como a su validez de acuerdo con las expectativas del negocio.  Disponibilidad: accesibilidad a la información para los procesos del negocio en el presente y en el futuro, también salvaguardar los recursos y capacidades asociadas a los mismos.  Cumplimiento: son las leyes, regulaciones, acuerdos contractuales a los que el proceso del negocio está sujeto.  Confiabilidad de la Información: proveer la información apropiada para que la administración tome las decisiones adecuadas para

43

manejar la empresa y cumplir con las responsabilidades de reportes financieros.

los

Una vez que las metas del negocio se encuentran alineadas y han sido definidas, requieren ser monitoreadas para garantizar que la entrega cumpla con las expectativas del negocio.

Los recursos de TI son:  Datos: Todos los objetos de información interna y externa, estructurada o no, gráficas, sonidos, etc.  Aplicaciones:  Tecnología: los sistemas de información, que integran

procedimientos manuales y sistematizados. incluye hardware y software básico, sistemas

operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.  Instalaciones: son recursos necesarios para alojar y dar soporte a los sistemas de información.  Recursos Humanos: habilidad, conciencia y productividad del

personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.

Se deben gestionar todos los recursos de TI, mediante un conjunto de procesos agrupados, para lograr metas de TI que proporcionen la

información que el negocio necesita para alcanzar sus objetivos. Este es el principio básico del marco de trabajo COBIT, como se ilustra en el cubo COBIT5.

5

Definición Auditoría: http://www.mega-consulting.com/herramientas/Auditoría/2concepto.htm

44

Gráfica 4: Cubo cobit

2.3.1.2.

Orientado a Procesos

Se pueden diferenciar tres niveles de actividades en un proceso de TI:  El nivel superior de agrupación.- son los dominios que constituyen los procesos agrupados, los dominios en una estructura

organizacional se denominan dominios de responsabilidad y se alinean con el ciclo de vida o administrativo de los procesos TI.  En el nivel intermedio se encuentran los procesos, que son un conjunto de varias tareas y actividades.  En el nivel bajo se hallan las actividades y tareas necesarias para alcanzar un resultado medible, es decir, son las actividades más discretas, como se puede observar en la Gráfica 5.

45

4. Organización y Relaciones PO5 Manejan la Inversión TI PO6 Comunican Objetivos de Dirección y Dirección PO7 Manejan Recursos TI Humanos PO8 Manejan Calidad 46 .4.1. Planificación y Organización: Cubre las estrategias.1. DOMINIOS 2. 2. las tácticas y la manera de identificar la forma en que TI puede contribuir al logro de los objetivos del negocio.Gráfica 5: Niveles de actividades de ti 2. Objetivos de Control Niveles Altos Planificación y Organización - PO1 Definen un Plan de TI Estratégico PO2 Definen la Información Arquitectura PO3 Determinan Dirección Tecnológica PO4 Definen los Procesos de TI.1.4.

1. Adquisición e Implementación Cubre las estrategias de TI. clasificados de forma frecuente como controles de aplicación 47 . Soporte y Servicios Incluye los procesos de entrega o distribución.4.2. desarrolladas o adquiridas así como la implementación e integración en los procesos del negocio 2. Con el fin de entregar servicios. tomando en cuenta aspectos de seguridad y continuidad de las operaciones. En donde se incluye el procesamiento de datos. desde las operaciones tradicionales hasta el entrenamiento. las soluciones de TI necesitan ser identificadas.4. los sistemas de aplicación.2.4.3.- PO9 Evalúan y Manejan Riesgos de TI PO10 Manejan Proyectos 2. Objetivos de Control Niveles Altos - AI1 Identifican Soluciones Automatizadas AI2 Adquieren y Mantienen Software De aplicación AI3 Adquieren y Mantienen Infraestructura de Tecnología AI4 Permiten Operación y Usan AI5 Procuran Recursos TI AI6 Manejan Cambios AI7 Instalan y acreditan Soluciones y Cambios 2.

Evaluación y Seguimiento Se debe evaluar de forma regular los procesos de control independientes.4. los mismos que son definidos por auditorías externas e internas o por fuentes alternativas. el monitoreo del control interno. 48 .1.4. También abarca la administración del desempeño. Objetivos de Control Niveles Altos Soporte y servicio - DS1 Definen y Manejan Niveles de Servicio DS2 Manejan Servicios de Tercero DS3 Manejan Funcionamiento y Capacidad DS4 Aseguran Servicio Continuo DS5 Aseguran Seguridad de Sistemas DS6 Identifican y Asignan Gastos DS7 Educan y Entrenan a Usuarios DS8 Manejan Escritorio de Servicio e Incidentes DS9 Manejan la Configuración DS10 Manejan Problemas DS11 Manejan Datos DS12 Manejan el Ambiente Físico DS13 Manejan Operaciones 2.4.3. el cumplimiento regulatorio y la aplicación del gobierno de TI.2.

1.4. Objetivos de Control Niveles Altos Evaluación y seguimiento - ME1 Supervisan y Evalúan Procesos de TI ME2 Supervisan y Evalúan Control Interno ME3 Aseguran Cumplimiento Regulador ME4 Proporcionan Gobernación TI Gráfica 6: Marco de COBIT 49 .4.2.

usuarios.5. VENTAJAS Y DESVENTAJAS SOBRE LOS MODELOS Y BUENAS PRÁCTICAS ITIL Y COSO Tabla 1: Matriz Cobit vs Itil. Ofrecer un marco común para todas las actividades del departamento de ti. usuarios. auditores de SI Operaciones efectivas y eficientes Informes financieros confiables Cumplimiento de las leyes y regulaciones Aplicar el ITIL en las empresas que han integrado en sus procesos a sus clientes y proveedores a través de redes informáticas. Coso ATRIBUTO Audiencia Primaria COBIT Dirección. Objetivos Organizacionales del CI disponibilidad de información Informes financieros confiables Cumplimiento de las leyes y regulaciones Dominios: Planeamiento y organización Adquisición e implementación Componentes o Dominios Entrega y soporte Monitoreo Componente: Supervisión Ambiente de control Administración de riesgos Actividades de control Información y comunicación Componentes (fases): Estrategia del servicio Diseño del servicio Transición del servicio Operaciones del servicio Mejora continua del servicio Foco Confiabilidad Tiempo que se requiere para su desarrollo Costo Tecnología Informática Toda la entidad Ciclo de vida de un servicio Alta Depende de la disponibilidad de la información de las aéreas de la empresa Alto Alto Alto Alta Disponibilidad de la información Media Depende del uso y del estado actual de la infraestructura TI 50 . integridad y Dirección COSO ITIL Dirección. auditores de SI Operaciones efectivas y eficientes Confidencialidad.2.

se vuelve más eficaz y. . -Una mayor flexibilidad y adaptabilidad de los servicios -Ayuda a salvar las brechas existentes entre riesgos de negocio. través de los diversos puntos de -Confiabilidad información de la contacto acordados. -La entrega de servicios se enfoca más al cliente. . financiera: -Los servicios se control de la elaboración detallan en lenguaje y publicación de estados del cliente y con contables confiables.La administración tiene un mayor control. se estandarizan e identifican los procedimientos y.Con el fin de VENTAJAS (TI) proporcionar la información que la organización necesita para alcanzar sus objetivos. ética usuarios finales a empresarial.Los usuarios finales obtienen una garantía sobre la seguridad y control de los productos que adquieren interna y externamente. -Los usuarios de COSO son orientados -Mejora la sobre comunicación con control interno. más detalles. se centra más en los objetivos de la organización. gestión los clientes y del riesgo. -Se maneja mejor la VENTAJAS (CLIENTES Y USUARIOS) calidad y los costos de los servicios. señala que los recursos de TI deben ser administrados por un el logro de los objetivos de la conducción y que se cumple con las estrategias para mitigar los riesgos 51 . procedimientos y . mejorando con ello la calidad de los mismos y relación entre el cliente y el departamento de IT. Las actividades de control: o las políticas. necesidades de control y prácticas que aseguran aspectos técnicos. fraudes.La organización TI desarrolla una estructura más clara.

-La estructura de procesos en IT proporciona un marco para concretar de manera más adecuada los servicios de outsourcing.ITIL proporciona un marco de referencia uniforme para la comunicación interna y con proveedores. se facilita la introducción de un sistema de administración de calidad. Inobservancia gerencial una mejora por falta de entendimiento 52 .No se ve reflejada fatiga.No se da un cambio previo en la cultura del área involucrada. -COBIT consta con una cláusula de limitación de responsabilidad la cual obliga a los gerentes y -Errores por mala interpretación. . modo. más complejo que toma de decisiones. negligencia.Es la herramienta innovadora para el manejo de TI que ayuda a la gerencia a comprender y administrar los riesgos asociados con TI. .Proporciona herramientas al responsable de los procesos que facilitan el cumplimiento de los procedimientos de TI. distracción o . su propia ejecución. -A través de las mejores prácticas de ITIL se apoya al cambio en la cultura de TI y su orientación hacia el servicio y. . . -Requiere cierto nivel de -Errores por falta de manejo de las TI. los cambios resultan más fáciles de manejar.conjunto de procesos de TI agrupados en forma natural. en cierto DESVENTAJAS capacidad para ejecutar las instrucciones -Errores de juicio en la -Tiempo y esfuerzo necesario para su implementación. por lo que acoplarlo resulta ser un proceso.

.La mejora del servicio y la reducción de costos puede no ser visible. a las políticas o procedimientos prescritos.El personal no se involucra y no se compromete. sobre procesos.beneficio.personas involucradas a investigar el manual de COBIT. Los procesos podrán parecer inútiles y no se alcanzaría las mejoras en los servicios.La inversión en herramientas de soporte sea escasa. 53 . para saber su nivel de confiabilidad. -Colusión. -Costo . -Resulta un modelo ambicioso que requiere de profundidad en el estudio. . indicadores y métodos para ser controlados. -No existe en la bibliografía de resultados experiencias prácticas de implementación de este modelo que lo hagan medible. .

proveedores. entes de control y talento humano. Honestidad: Con los asociados.1. de calidad y con valor agregado. con mayor participación en el mercado. Misión: “Satisfacer las necesidades y expectativas de nuestros socios. documentos. es una Institución que nació hace 41 años con el fin de colaborar con el progreso y bienestar de la comunidad y. contando con una estructura administrativa/financiera sólida y con personal y directivos con visión social” Visión: “Mantenernos como una Institución Financiera Sólida. SITUACIÓN ACTUAL DE LA ENTIDAD Cooperativa Alianza del Valle. éstos serán utilizados con absoluta rectitud e 54 . que sean de la Cooperativa.CAPÍTULO III Estudio del modelo COBIT en la Cooperativa de Ahorro y Crédito “Alianza del Valle” 3. Alianza del Valle es una entidad solidaria que trabaja por la comunidad ofreciendo sobre todo seguridad y confianza. que brinda productos y servicios financieros competitivos con cobertura nacional. ofreciéndoles productos y servicios financieros innovadores. Valores de la Cooperativa Equidad: A través de un ambiente de justicia y transparencia para el otorgamiento de productos y servicios a nuestros socios/clientes. para impulsar el desarrollo de los socios y de la comunidad con responsabilidad social. es gracias a sus asociados que ha logrado convertirse en una institución financiera sólida con visión de liderazgo. recursos financieros. que le han convertido en Su Cooperativa Amiga.

La Cooperativa de Ahorro y Crédito “ALIANZA DEL VALLE” Ltda. Contactos. estando siempre preparados a esclarecer e informar sobre las actividades ejecutadas. Cuenta con los siguientes servicios: Cooperativa en Línea.1. Responsabilidad: Para asumir nuestras acciones. Cobertura. políticas y procedimientos que constituyen los pilares del accionar de la Cooperativa.1. Productos y Servicios. de manera que el socio/cliente incremente su confianza en la capacidad del personal y de la Cooperativa como Institución sólida y transparente. Disciplina: Cumpliendo a cabalidad normas.Acreditaciones a Instituciones Acreditaciones IESS 55 . Solidaridad: Hacia nuestros socios/clientes y la comunidad ecuatoriana.Ventanillas Extendidas Cpyline . Los productos y servicios que brinda la Cooperativa de Ahorro y Crédito “ALIANZA DEL VALLE” Ltda. Son: Servicios: Seguro Amigo Tarjeta de Débito Pago de Bono de Desarrollo Humano Sistema de Remesas CREER Ecuador Impuesto Predial Sistema de Envíos Western Union Transferencias Interbancarias Megared . basándonos en nuestros principios de ayuda mutua. 3. Trabajamos con transparencia y ética cuidando siempre el bienestar de nuestros socios e Institución. Conocimiento y compresión de la institución.integridad organizacional.

1. El Departamento de TI principales: tiene a su cargo las siguientes actividades - Asesorar en el desarrollo e implementación de nuevas herramientas informáticas. computacionalmente. Conocimiento y compresión de las actividades del departamento de TI. confiabilidad y disponibilidad de la información de la cooperativa.Apoyar. . Departamentos y otras unidades de la “Cooperativa 56 . simplificar.2. salvaguardando la integridad. que sirvan de instrumento para agilitar. mejorar el desempeño de las actividades de los usuarios operativos y administrativos.Productos:  Productos de Ahorro Cuenta Efectiva Cuenta Sueña Cuenta Joven Cuenta Metahorro  Productos de Crédito Seguro de desgravamen Bajas tasas de interés Cero comisiones CrediConsumo MicroCrédito CrediVivienda  Inversiones Plazo Fijo Alianza 3. las actividades de todos las Direcciones.

- Participar en la elaboración y ejecución del Plan Estratégico de la cooperativa. - Coordinar el accionar de las distintas dependencias de la “Cooperativa de Ahorro y Crédito “Alianza del Valle”” de manera de ir integrando y correlacionando información y bases de datos. por medio del Área de Administración y de la Gerencia General.Controlar las concesiones que le correspondan. en la elaboración de las especificaciones técnicas y que le sean atingentes a la naturaleza de sus funciones. de propiedad de la cooperativa. .Prestar soporte a usuarios en todo lo relativo a la plataforma computacional de la “Cooperativa de Ahorro y Crédito “Alianza del Valle””.Velar por la integridad de la información almacenada en equipos computacionales. . . las políticas respecto a las Tecnologías de Información. sistemas y equipos computacionales de la “Cooperativa de Ahorro y Crédito “Alianza . preocupándose del desarrollo de programas como de la actualización de todo su equipo. además de elaborar y ejecutar los planes de contingencia necesarios en caso de pérdida de dicha información.Mantener y administrar las del Valle”. redes. - Proponer al Directorio para su aprobación. de acuerdo a su participación. así como elaborar y ejecutar el Plan Anual Operativo del Departamento de TI.de Ahorro y Crédito “Alianza del Valle””. 57 .

de acuerdo al ámbito de su - Hacer seguimiento del cumplimiento de los contratos de servicios solicitados por el área a su cargo.- Velar por la alta disponibilidad del Servicio de tecnología de Información que soporte la operatividad de la cooperativa. en la definición de especificaciones técnicas de procesos de selección que guarden relación con tecnología de la información. 58 . - Participar en la elaboración del Plan de Seguridad de la Información y el Plan de Continuidad de Negocios de la cooperativa. ejecutándolos competencia. dentro del ámbito de su competencia. e requeridos de para los asegurar la tecnológica implantación proyectos de Tecnología de Información. - Establecer las normas y estándares para la gestión de las actividades y uso de recursos de tecnologías de información. - Atender e implementar las medidas correctivas. - Dar conformidad al cumplimiento de los contratos que deriven de la adquisición. - Apoyar. recomendadas por el Departamento de Auditoría Interna y los organismos de control externo. alquiler y/o mantenimiento de equipos y/o aplicativos. dentro del ámbito de su competencia. - Proponer los planes y presupuestos para la adquisición de recursos de tecnologías renovación de información.

1.3. Descripción de Funciones del nivel directivo Gráfica 7: ESTRUCTURA ORGANIZACIONAL 59 .3.

Gráfica 9: Grupo Ocupacional 60 . responsabilidades y requerimientos para el cumplimiento de su ocupación. está conformada por áreas.. de acuerdo al tipo de funciones. grupos y cargos ocupacionales  Áreas Ocupacionales Estos son conjuntos de actividades afines que constituyen las relaciones laborales Gráfica 8: Área ocupacional  Grupos Ocupacionales Son ocupaciones de naturaleza similar.La Estructura Organizacional de la Cooperativa de Ahorro y Crédito “Alianza del Valle” Ltda.

 Cargos o Listado de Cargos Gráfica 10: Ocupaciones 61 .

o Representar judicialmente a la cooperativa o Responder por cooperativa o Cumplir y hacer cumplir a los socios las disposiciones emanadas de la asamblea general y del consejo de administración o Actualizar y mantener bajo custodia los inventarios de bienes y valores de la entidad. o Delegar o revocar delegaciones conferidas a otros funcionarios de la cooperativa. el plan operativo y el presupuesto de la cooperativa. sin que ello implique exonerarse de la responsabilidad legal.  Gerente General o Presentar para aprobación del consejo de administración el plan estratégico. así como el plan anual de gestión. o Informar al consejo de administración sobre la situación financiera de la entidad. cuyo nombramiento o remoción no sea de competencia de otro órgano de la entidad y fijar sus remuneraciones que deberán constar en el presupuesto de la entidad o Suministrar la información que solicite los socios. o Presidir el comité de crédito de la cooperativa y los que determinen las normas de la junta bancaria 62 . cumplimiento del plan estratégico y sobre todo que sean solicitados. o Mantener los controles y procedimientos adecuados para asegurar el control interno. así como el informe anual de gestión. de riesgos y su impacto en el patrimonio. representantes. remover y sancionar. o Contratar. previa información al consejo de administración. órganos internos y su impacto en el patrimonio.A continuación se describirá las principales funciones del personal relevante de la Cooperativa de Ahorro y Crédito “ALIANZA DEL VALLE” Ltda. la gestión administrativa y financiera de la cumplimiento del plan estratégico y sobre otros que sean solicitados. de acuerdo a las políticas que fije el consejo de administración a os empleados de la cooperativa.

disposiciones. organismos de control. o Monitorear el cumplimiento de instructivos. o Cumplir actividades de apoyo administrativo a jefaturas de la cooperativa. etc. según programa aprobado. o Supervisar el cumplimiento de entrega y recepción de correspondencia. reportes y mas requerimientos establecidos por las autoridades de la cooperativa y organismos de control. instituciones financieras y otros. o Asistir y coordinar reuniones de trabajo con jefes departamentales jefes de agencias.o Mantener y actualizar el registro de certificados de aportación o Ejecutar las políticas de tasas de interés y de servicios de acuerdo a los lineamientos fiados por el consejo de administración o Analizar y aprobar las estrategias de mercadeo de productos y servicios de la cooperativa o Evaluar los resultados de la implantación de las estrategias. o Administrar el módulo de seguridad de módulo COBIS o Realizar las veces de oficial de cumplimiento Back UP 63 . o Custodiar y velar por la correcta utilización de la central telefónica. registros. o Elaborar informes para el consejo de administración de las actividades realizadas por gerencial general. o Administrar el programa de desbloqueo de claves de los funcionarios y empleados. o Aprobar la adquisición de bienes y servicios requeridos para la gestión de la cooperativa de acuerdo a lo establecido en el manual de adquisición o Suscribir convenios de préstamo con entidades financieras según políticas de endeudamiento aprobadas.  Asistente de Gerencia o Coordinar la agenda de Gerencia General o Elaborar memorandos y oficios para funcionarios.

o Verificar si la información que utiliza internamente la institución para la toma de decisiones y la que reporta a la superintendencia de bancos y seguridades es fidedigna. o Verificar que la institución del sistema financiero cuente con un plan estratégico y que su formulación se efectuó a base de un análisis de elementos tales como: debilidades. cumplimiento de las políticas y procedimientos internos. información oportuna y suficiente que cuenten con todas las seguridades necesarias. una adecuada revelación de los estados financieros. y. evolución de la cuota de mercadeo. Auditor Interno o Vigilar cualquier tiempo las operaciones de la institución o Comprobar la existencia y el adecuado funcionamiento de los sistemas del control interno. oportunidades fortalezas y amenazas. entre otros. planes de expansión o reducción. o Evaluar si la gestión del oficial de cumplimiento se sujeta a las disposiciones o Verificar que la institución cuente con organigramas estructurales y funcionales. líneas de negocios. o Verificar que el director o el organismos que haga sus veces de la institución del sistema financiero haya expedido las políticas para prevenir el lavado de activos provenientes de actividades ilícitas y constatar la aplicación de estas por parte de la administración de la entidad controlada. 64 . proyecciones financieras. mercado objetivo. leyes y normas aplicables. con el fin de determinar si son adecuados para proporcionar a la administración y demás áreas de la institución. eficiencia y eficacia de las operaciones. oportuna y surge de sistemas de información y bases de datos institucionales. con el propósito de proveer una garantía razonable en cuanto al logro de los objetivos de la institución. salvaguarda de los activos. o Evaluar los recursos informáticos y sistemas de información de la institución del sistema financiero.

o Aplicar las pruebas de auditoría necesarias para verificar la razonabilidad de las estados financieros. o Identificar las operaciones con partes vinculadas y verificar su adecuada revelación en los estados financieros para el caso de las cooperativas de ahorro y crédito que realizan intermediación financiera con el público y de las asociaciones mutualistas de ahorro y crédito para la vivienda. la existencia de respaldos de los registros contables. confiabilidad y suficiencia de las cifras contenidas en los estados financieros y de sus notas. los estados financieros y demás reportes que se remitirán a la superintendencia de bancos y seguros. o Evaluar la correcta selección y aplicación de los principios contables en la elaboración de los estados financieros o Verificar la transparencia.o Verificar la existencia. procedimientos. si lo hubiese. consistencia. metodologías formalmente establecidas para identificar. y cumplimiento de las normas de carácter general dispuestas por la superintendencia de bancos y seguros contenidas en el catalogo único de cuentas y en la codificación de resoluciones de la superintendencia de bancos y seguros y de la junta bancaria. controlar y administrar los riesgos y si estas son compatibles con el volumen y complejidad de las transacciones. actualización. eficacia y. mediante la evaluación de los procedimientos aplicados por la administración y los auditores externos. cumplimiento de las políticas. o Verificar que la institución del sistema financiero acate las disposiciones de la superintendencia de bancos y seguros. así como las recomendaciones de los auditores externos y del anterior auditor interno. difusión. 65 . estrategias. o Suscribir conjuntamente con el representante legal y el contador general de la institución del sistema financiero. evaluar. o Verificar la suficiencia de los asientos contables incluidos en los estados financieros de la institución del sistema financiero.

o Elaborar el plan anual de auditoría a ser ejecutado durante el ejercicio económico y remitido a la superintendencia de bancos y seguros. en el formato establecido para ello. LAN (Remotas oficinas/locales) y del sistema COBIS. o Elaborar presupuesto anual del departamento. BDD (base de datos). o Asesorar a gerencia general y jefaturas departamentales y de agencias. o Realizar el Plan estratégico y operativo del área alineando al plan estratégico institucional. 66 . según corresponda.o Velar por el cumplimiento de las resoluciones de la junta general de accionistas. o Elaborar o actualizar el plan de contingencia. seguimiento y monitoreo de los mantenimientos de las redes WAN. o Verificar que los aumentos de capital de la institución se ajusten a lo previsto en el artículo 42 de la ley general instituciones del sistema financiero y a las normas pertinentes de la codificación de resoluciones de la superintendencia de bancos y seguros y de la junta bancaria. del director o de los órganos que hagan a sus veces. o Ejecutar el plan de auditoría. asamblea de socios. o Planificación. o Planificación. o Instalación y configuración de software especializado o Asesorar a gerencia general de las nuevas herramientas informáticas.  Jefe de Informática y Tecnología o Administrar los recursos de informáticos y tecnológicos de la cooperativa. o Dirigir y coordinar las acciones de auditoría en las diferentes áreas. en base de los requerimientos de los controles establecidos. de acuerdo al plan aprobado. seguimiento y monitoreo de las actividades asignadas al área de TI y CC.

área geográfica. o Diseñar un sistema de información basado en reportes objetivos y oportunos. a fin fe entender sus responsabilidades con respecto a la administración integral de riesgos. que permita analizar las posiciones para cada riesgo y el cumplimiento de los límites fijados. o Elaborar y someter a consideración y aprobación del comité de administración integral de riesgos. la metodología para identificar. operaciones y actividades acorde con la estrategia del negocio. o Planificación. normativa y estatutaria. o Calcular las posiciones de riesgo y su afectación a patrimonio técnico de la entidad o Analizar la incursión de la institución del sistema financiero en nuevos negocios. e. en cumplimiento del proceso de administración integral de riesgos. con sujeción a las disposiciones legales. de riesgos para la institución. informar periódicamente al comité los planes de contingencia que considere distintas situaciones probables. de acuerdo con los lineamientos que fije el director u organismo que haga sus veces. o Velar por el cumplimiento de los límites de explotaciones por tipo de riesgos respecto de los principales clientes.o Realizar un informe a gerencia general de la administración de los recursos informáticos y tecnológicos. o Implantar de manera sistemática en toda organización y en todos los niveles de personal las estrategias de comunicación.  Jefe de Riesgos o Proponer al comité de administración integral de riesgos de la entidad. medir. controlar/mitigar y monitorear los diversos riesgos asumidos por la institución en sus operaciones. sectores económicos de actividad. entre otros. seguimiento y monitoreo de los nuevos proyectos informáticos de software y hardware. las políticas. según corresponda. 67 .

o Diseñar las políticas y el proceso de administración del riesgo operativo. Estructura Organizativa del Área de Sistemas JEFE DE INFORMÁTICA Y TECNOLÓGIA ADMINISTRADOR DE TI ANALISTA DE PRODUCCIÓN ADMINISTRADOR DEL CENTRO DE CÓMPUTO ANALISTA PROGRAMADOR OPERADOR PROGRAMADOR Gráfica 11: Estructura organizacional del área de sistemas En la Cooperativa “Alianza del Valle” LTDA.o Analizar el entorno económico y de la industria y sus efectos en la posición de riesgos de la institución. conoce como el al área tecnológica se la Departamento de Tecnología e información. 3.1.4.Administrador de TI: Administrar proyectos de software que satisfagan las necesidades de mejoramiento y calidad de los procedimientos y actividades institucionales.. donde detallaremos los cargos principales que constituyen este departamento. con la implementación de sistemas automatizados. 68 .  . así como las pérdidas potenciales que podrá sufrir ante una situación adversa en los mercados en los que opera.

 Administrador del Centro de Cómputo: Administrar los recursos tecnológicos monitoreando el buen desempeño de los equipos servidores.1. En lo que tiene que ver con el manejo de las libretas. el módulo presenta opciones para manipular las líneas pendientes.  Operador: Ejecutar procesos diarios.5. mantener la operatividad de los equipos tecnológicos y servicios relacionados al área. COBIS Sistema Bancario COBIS es un Sistema Bancario.1. Analizar los requerimientos enviados por el administrador de TI y apoyar en la mejora de estos. producto de la ejecución de transacciones internas o de transacciones en 69 .  Programador: Desarrollar software que cumpla con los requerimientos institucionales. que son fundamentales para el funcionamiento de la cooperativa:  MÓDULO DE CUENTAS DE AHORROS El módulo está diseñado para brindar un conjunto variado y completo de transacciones para la administración.1. manipulación y consultas sobre las cuentas de ahorros que posee el banco. que se encarga de manejar los siguientes módulos. supervisar que las redes de telecomunicaciones estén operativas en su totalidad. controlar inventario del hardware y software licenciado.5. 3. Características de los Sistemas y Ambiente Computarizado 3.  Analista Programador: Analizar los requerimientos enviados por el administrador de ti y apoyar en la mejora de estos.

la misma que facilitará la negociación de un crédito. lo cual ocasiona problemas y mucho esfuerzo para poder controlar correctamente si no existe un sistema automático. producto de la ejecución de una transacción con libreta. con la operación de reimpresión. ESTANDARES: Cuentas de Ahorro Personalización Remesas  MÓDULO DE CARTERA Cobis Cartera. realizando cálculos diarios de los valores que deben cobrarse por cada uno de los conceptos que se definen en un préstamo y teniéndolos disponibles el momento que se requiera. El módulo tiene una gran facilidad en cuanto a la simulación de tablas de amortización. permitiendo tener un control total sobre cada una de las operaciones. También se encuentra diseñado para que pueda realizar procesos de regeneración de tablas de amortización por reajustes de tasas. en caso de fallo en la impresión original. Dicho manejo se ve complementado por las características que brinda la terminal financiera (ATX). proporcionando un mejor servicio al cliente y optimizando recursos de la empresa. para manejar diferentes tipos de impresoras validadoras y. presenta una solución a los problemas que se presentan al procesar los préstamos. 70 . Permite aceptar cualquier tipo de abono que desee hacer el cliente con su correspondiente aplicación y registro.las cuales el cliente no dispuso de la libreta (transacciones financieras sin libreta).

Los periodos pueden ser anuales. Periodos Contables Es posible definir los periodos contables que el usuario requiera. Manejo de la Estructura Organizacional El sistema se adapta a la estructura de cada empresa. Al finalizar un periodo contable se transfieren los saldos de las cuentas de resultados a utilidad o pérdida del 71 . es posible. trabajar con un nuevo periodo (año 95) y seguir disponiendo del anterior periodo (año 94) para realizar ajustes y correcciones. o realizar una búsqueda de las mismas según su jerarquía o nombre. Las áreas también pueden ser definidas como operativas o canceladas. asociándolas por tipos de planes. semestrales. independiente por empresa. Se puede realizar consultas de todas las sucursales existentes en la empresa. permitiendo definir la estructura organizacional de la misma (oficinas y áreas). con fechas de inicio y fin de los mismos. En consecuencia. por ejemplo. mensuales. etc. También es posible realizar comparaciones de resultados generados por cada periodo. por grupos económicos o por su capacidad de manejo contable. ofreciendo servicios contables para empresas ajenas al grupo económico. MÓDULO CONTABIIDAD Manejo de Empresas El módulo de Contabilidad permite el manejo multiempresa o manejo contable de diferentes empresas.

Uso de Comprobantes Contables Los comprobantes tienen las siguientes características: Las cuentas contables que intervienen en los comprobantes. lo que permite tener un Plan de Cuentas completo por cada Empresa y dentro de la misma por cada nivel organizacional (región. Esta asociación se realiza de una manera fácil y dinámica. El módulo controla automáticamente el cuadre de débito contra el crédito. sin un crecimiento innecesario del plan de cuentas. El Plan de Cuentas se asocia a las diferentes oficinas y por cada una de las oficinas a las diferentes áreas. Manejo de Monedas El sistema maneja múltiples tipos monedas. Es posible definir qué cuentas son operativas en qué nivel organizacional. según como el usuario lo defina. Un archivo histórico de monedas extranjeras. deben ser digitadas con su respectivo dígito de verificación para evitar cualquier ingreso erróneo. 72 . Plan de Cuentas Es posible definir un Plan de Cuentas para cada Empresa. pudiéndose obtener gráficos históricos. luego de lo cual éstas son inicializadas para el comienzo de un nuevo periodo. lo que permite obtener saldos en función de ellos. permite conocer las cotizaciones tanto de compra como de venta. sucursal o agencia). sin límite en el número de niveles ni en el número de dígitos por nivel.ejercicio.

para la presentación de Balances a la Superintendencia de Bancos. Recepción de comprobantes contables. o desde todas las agencias y. y. a la moneda base que se haya definido para la Empresa. imprimir comprobantes contables Es posible el manejo de entradas interiores. de todos los productos bancarios de las agencias. Ecuatoriana. Los saldos pueden ser obtenidos por oficina. Interfaces Contables 73 . a través de las cuales se permite el cruce de valores monetarios entre oficinas o departamentos. Chillogallo. Inca. Saldos Contables Es posible la consulta automática de saldos sumarizados de la Empresa. desde el departamento de contabilidad.El módulo genera e el número los de comprobante por departamento. por Sucursales. pudiéndose obtener gráficos de la variación de saldos de la cuenta. generados. Amaguaña. Conocoto. (Machachi. saldos por Oficinas. de todas y cada una de las cuentas contables: es decir hasta el nivel estructural más bajo y profundo que se requiera. Reexpresión Monetaria El sistema convierte todos los saldos en moneda extranjera. Guamaní. periodo requerido y corte. Matriz). Sangolquí.

Control Presupuestario Es posible el manejo del Control Presupuestario mensual. El número de firmas y sellos que pueden ser registrados por cliente es virtualmente infinito. Cuentas de Ahorros y Cámara y Remesas. de un scanner convenientemente conectado al equipo Cliente (tarjeta de scanner). Al final de cada periodo es posible hacer una comparación gráfica entre ambos sistemas de cuantas.. con partidas presupuestarias armadas. para la realización de transacciones. o su rechazo y. permite automatizar el proceso de concesión de crédito. 74 .  MÓDULO DE CRÉDITO El módulo de crédito. facilitando la apertura de una solicitud de crédito (operaciones originales. el seguimiento de los préstamos otorgados y rechazados por la Institución Financiera. brindando toda la información necesaria para la toma de decisiones oportunas con el menor riesgo para la Institución.  MÓDULO DE FIRMAS Mediante el presente módulo se pueden digitalizar firmas de clientes. el control y aprobación de las etapas de dicha solicitud. etc.Manejo de interfaces contables con Productos Bancarios como: Cuentas Corrientes. además del presente módulo. También pueden digitalizarse sellos de compañías. definiéndose las cuentas de Presupuesto (similares a las del Plan de Cuentas). así como la empresa a la que pertenecen dichas sucursales. indicando los sucursales origen y destino de la transacción. renovaciones o líneas de crédito). Para ello es necesario.

El módulo de Valores en Garantías. según se indica en el primer párrafo y. permitiendo geográfica. así como el manejo de las inspecciones realizadas a las garantías que las requieran. otro para la Administración de dichas firmas. el análisis de nuevos productos y servicios considerando las características de los clientes. manipulación y consultas sobre las garantías que posee la institución financiera.  MÓDULO VALORES EN GARANTÍA El módulo está diseñado para brindar un conjunto variado y completo de transacciones.  MÓDULO CLIENTES El módulo de CLIENTES permite la simulación de condiciones operativas de una Institución.El módulo puede ser usado en diferentes niveles de operatividad. presenta opciones para realizar el mantenimiento y consultas de las garantías. su segmentación por mercados y ubicación 75 . pero básicamente admitiría dos roles: aquel que permite registrar nuevas firmas de clientes (y necesarias actualizaciones). registra la información de las garantías que presenta un cliente al momento que éste solicita una operación de Crédito. según se hayan definido los Roles por medio del módulo Administración y Control Distribuido. Complementariamente. para la administración.

76 . con posibilidades de análisis de factibilidad de nuevos productos. distribución geográfica de clientes y evaluación del comportamiento de productos. fecha de próximo pago. El control sobre los depósitos se inicia con el ingreso de éste al sistema. Saldos Promedios y Flujo de Movimientos por Cuentas Corrientes y Cuentas de Ahorro de cada Cliente o Grupo Económico en los últimos seis meses. etc. brinda al banco. Información para Mercadeo Manejo de información para soporte a las actividades del área de mercadeo de la Institución. sus relaciones con otros clientes y con los productos bancarios y financieros que tienen contratados. permitiendo registrar la información necesaria para poder realizar los procesos de cálculos de intereses.El módulo consta de 3 elementos principales: El CIF (Central Information File) Que contiene la información general de los clientes de la institución. la facilidad de poder controlar la gestión originada en el manejo de los diferentes tipos de depósitos que son utilizados por el mismo. Información de Saldos de Clientes Obtención de información sobre los Saldos. apropiadamente.  MÓDULO DEPOSITOS A PLAZO FIJO El sistema de información COBIS Depósito a Plazo Fijo. fecha de vencimiento.

Base de Datos La Cooperativa tiene a COBIS como su Core Bancario siendo su administrador de Base de Datos un Servidor Adaptive Server Enterprise de Sybase. Los usuarios se conectan directamente a la base de datos. La Cooperativa cuenta con un plan de contingencia y continuidad del servidor de Base de Datos y tienen configurado el Sistema de Contingencia o Standby mediante la Recopilación Sybase. Para el buen funcionamiento de la base y evitar pérdidas de información o caídas en la conexión el departamento de Sistemas asigna 2 procesadores y discos con la suficiente capacidad para soportar el número de transacciones diarias.2.5. 77 . en auditoría informática este sistema debe ser analizado en su comportamiento de motor transaccional basándose en algunos puntos claves como son: o Configuración de permisos de acceso de comunicaciones o Configuración del motor transaccional o Conexión a la base de datos o Variables de entorno en el sistema o Revisión de estadísticas de ejecución de transacciones del sistema o Comportamiento del sistema en el ambiente de producción COBIS contiene dos componentes muy importantes para su funcionamiento como son el MUX y COMSERVER estos son utilizados con la finalidad de eliminar posibles cuellos de botella en el servidor central al responder las transacciones solicitadas por los servidores de agencia. 3.1. en un instante específico o en caso de transacciones recursivas o masivas.El sistema se encuentra alojado en el servidor central de producción de la Cooperativa.

3. mismo que se encuentra en la matriz.3 Alianza 192.5.168.1.3. para el intercambio y actualización de información.1. se encuentran en cada una de las agencias.10.101 alianza1 192. Servidores La Cooperativa cuenta con servidores (Branch) de Producción. Cada servidor de agencia presenta lo siguiente: o Posee configurado 4 APLSERVER(según la carga que soportan) o Esquema de seguridad o Encolamiento en las transacciones Servidor de producción Nombre del host Dirección IP Servidor de Standby Nombre del host Dirección IP Servidor de Replicación Nombre del host Dirección IP Alianza 192. El servidor central es el que controla toda la información importante de la Cooperativa de Ahorro y Crédito “Alianza del Valle”.10. estos son los que se conectan directamente al central. tanto de la matriz como sus agencias.A continuación se describe la arquitectura del Sistema de Base de Datos y Replicación.102. un Servidor central y uno de Transacciones.3 78 .1. Los servidores Branch .

10. solamente el personal del área de desarrollo tiene acceso de administrador.4.1.10. cabe destacar que. Microsoft Visual Source Safe Es una herramienta que dentro de la Cooperativa se utiliza para el control de acceso a los programas fuentes y ejecutables. existe una política de administración. Claro que para poder realizar cualquier cambio en el software.1.101 Gráfica 12: especificación de servidores o o o o o o o Servidor Central Sun Fire 250 (PRODUCCIÓN) Servidor Central SUN 250 ENTER PRISE (DESARROLLO) Servidor Compaq EVO para control de BANRED Servidor HP de red LAN de Matriz Alianza de Valle Servidor HP Linux Firewall Servidor HP cajeros automáticos Servidor HP Sitio Web 3. permitiéndoles tener todos los privilegios necesarios para poder realizar cambios sea en línea de código o configuración del sistema ejecutable.1. en la cual se debe especificar con que intensión o beneficio se realiza el cambio.102. 79 .5.3 SERVIDOR ASE DE STANDBY 192.3 SERVIDOR ASE QUE ASE DE ADMINISTRA LA RSSD Dirección IP 192.168.Servidor de Base de Datos Nombre del host SERVIDOR PRODUCCION Dirección IP Nombre del host Dirección IP Nombre del host 192.

Gráfica 13: Esquema de la red LAN/ WAN 80 . su red es plana. desde este sitio se distribuye la red a todos los.3.Se compone de dos concentradores de red que se podrían denominar como principales.1. El primero es un SWITCH 3COM de 24 y 12 Puertos a 100 MBPS que controla los puntos de red que desde el servidor están interconectados en un rack en la sala de máquinas del área de sistemas. RED Equipos de Comunicaciones cableado. para su gestión. En cuanto a la distribución de los puntos de red. utilizando equipos de comunicaciones tales como. estos han sido realizados mediante cableado tipo par trenzado UTP categoría 5e.5. mismo que permite una transmisión entre 100 BT 100 MBPS y que se ha extendido bajo canaleta de plástico.5.

 Garantizando la relación entre los Planes de Negocio y TI. APLICACIÓN DEL MODELO COBIT.2. COBIT satisface las necesidades que tiene la organización en lo referente a las TI de la siguiente manera:  Tomando en cuenta los requerimientos del negocio.3. se toma como marco de referencia COBIT 4. medir el desempeño y cumplimiento de metas y.  Mediante el modelo de procesos. que permite a los administradores. Monitorear y Evaluar. 81 .  Identifica los recursos de TI prioritarios a ser utilizados. A LA COOPERATIVA DE AHORRO Y CREDITO “ALIANZA DEL VALLE” 3.0. tener en cuenta y asociar los conceptos de requerimientos de control.2. calidad y eficiencia de las TI. medir el nivel de madurez de los procesos de la organización.  Definiendo los controles de TI. Este conjunto de las mejores prácticas permiten evaluar la seguridad. tener una gestión efectiva de los recursos.. consideraciones técnicas y riesgos del negocio. Justificación de la Aplicación de los Dominios de Planear y Organizar y.  Administrando los Recursos críticos. el cual es un marco de gobernabilidad de TI y un conjunto de herramientas de ayuda. de manera principal.  Asegurando que TI entregue todos los beneficios pronosticados en la estrategia.1. Para la realización de esta auditoría. organiza las actividades de TI. mediante esto se determinan los riesgos. del Modelo Cobit. eficacia.

el uso de recursos entre otros. pueden ser aplicados independientemente del ambiente.2. Cobit tiene su base en los objetivos de control de ISACF.1.2. Cada uno de estos dominios contiene declaraciones de los resultados que se desean obtener. Evaluación y seguimiento. organizadas en cuatro categorías o dominios.2. estándar generalmente aceptado para buenas prácticas en seguridad tecnológica y. que se sujeta a prácticas de administración a través de objetivos de control de “alto nivel”. los objetivos de control que se han definido en el modelo. en administración y control de la tecnología de la información.0 (Control Objectives For Information an Related Technology). Marco Teórico La metodología a utilizarse en el proyecto es Cobit 4. Soporte y servicios. monitoreando y rastreando la estrategia de implementación. mediante la implementación de procedimientos de controles específicos y relacionados a la actividad 82 . de acuerdo a estándares internacionales. 3. Adquisición e implementación. actualmente conocida como ISACA (Information Systems Audit and Control Association). por lo que se proyecta aplicar el Marco Referencial Cobit. este modelo de referencia tiene la facilidad de adaptarse a cualquier tipo de negocio y. Medición del desempeño.2. plataformas y madurez tecnológica de la organización. adaptado a la Cooperativa de Ahorro y Crédito “Alianza del Valle” Ltda.     Planificación y organización.. Planificación del Trabajo (propuesta) 3.

considerando el nivel de detalle provisto por los "Objetivos de Control" y las "Directrices de Administración" de Cobit. implementado en los procesos automatizados y en el gerenciamiento de los mismos.0. Identificar la forma en que el uso adecuado de la tecnología de la información. 3.2.2. Soporte y servicios. Adquisición e implementación. 3.2. Evaluación y seguimiento”. en Sistemas de Información Tecnológicos de la Cooperativa de Ahorro y Crédito los dominios de “Planificación y organización.1.2. Objetivos Específicos    Presentar el marco teórico del Modelo Cobit 4. utilizando COBIT.2.  Evaluar la eficiencia y eficacia con que los Sistemas de Información.2. apoyan en la toma de decisiones a la Alta Dirección de la organización.2. Evaluar la situación actual de la organización y su infraestructura tecnológica.2. mediante la revisión del ambiente de control. principalmente 83 . Objetivos 3.2. Objetivos Generales Realizar una Auditoría Informática de los “Alianza del Valle LTDA”.2. puede contribuir al logro de los objetivos de la organización. a fin de identificar debilidades y emitir recomendaciones que permitan eliminar o minimizar los riesgos. en función de los riesgos identificados y focalizados en el Departamento de Recursos Informáticos de la COOP Alianza del Valle Ltda.TI.

en cuanto a los requerimientos de control.enfocados en los criterios de efectividad. las cuales nos permitirán generar recomendaciones que quedarán planteadas en el informe final para que puedan ser aplicadas según el criterio de las autoridades. disponibilidad. para determinar si el sistema informático mantiene la integridad de los datos y. misma que luego analizarla. 3. Método de Trabajo y Procedimientos a Ejecutar Durante la auditoría.2. Como primera actividad se espera recoger. El proyecto que tendrá una duración de 20 semanas. y su evaluación paulatina para verificar su calidad y suficiencia. para lo cual se realizará la revisión de controles establecidos dentro de la cooperativa. en los dominios de “Planificación y Organización” y. 3.4. aplicando el modelo COBIT. que nos indica la forma de utilizar la tecnología de la información para lograr los objetivos del negocio. se debe recopilar información útil y necesaria. Este trabajo se ejecutará en la Cooperativa de Ahorro y crédito “Alianza del Valle LTDA”. se puede realizar combinando uno o más de los siguientes procedimientos:   Indagar y confirmar Inspeccionar 84 . confidencialidad e integridad.3. permiten obtener conclusiones.2. al final de las cuales se espera obtener recomendaciones en base a las falencias detectadas.2. La obtención de información o evidencias. principalmente si lleva a cabo eficazmente los fines de la organización.2. que luego derivan en recomendaciones para el mejoramiento de la organización. utilizando eficientemente los recursos. agrupar y evaluar evidencias. Alcance El alcance viene dado por la metodología COBIT. “Evaluación y Seguimiento”.

2.2. Las recomendaciones emitidas en base a las debilidades identificadas dependiendo de la factibilidad y posibilidad de la empresa. el cual será presentado a la Gerencia General de la empresa. se elaborará un informe preliminar.2. para posteriormente emitir un informe final.5. se basa en una serie de análisis que se realiza con tres métodos base escogidos para la realización de este trabajo:    Encuestas de evaluación acerca del uso de la tecnología Simulaciones de los procesos y casos Aplicación de escenarios tecnológicos 85 . deberán ser implementadas en un lapso no superior a cinco meses y una vez que se haya realizado las correcciones en el departamento de Recursos Informáticos. Herramientas a Utilizar La auditoría informática. se identificarán las debilidades de control en el Departamento de Recursos Informáticos.2. Productos a Entregar En base a la revisión llevada a cabo.6. 3.   Observar Recalcular y analizar Recolectar y analizar evidencia automatizada 3. este deberá ser evaluado. el cual será presentado a la Jefatura del Departamento y a la Gerencia General.

visualmente. etc. No participante. El éxito de la entrevista. Una forma de 'rebajar" la tensión. 86 . planificación de la observación (que haremos durante la observación y trascripción de la observación (como se expresara la observación. integrándose en el grupo y sus actividades. participante. las variables de la observación (que queremos observar. depende de los siguientes factores (repartidos por igual entre el auditor y el entrevistado): la experiencia y los conocimientos del auditor y la predisposición y los conocimientos del entrevistado. En cualquier caso. es lógico por lo tanto reacciones defensivas e incluso hostiles. como son:  Matrices de Investigación de Campo Instrumento elaborado para ser utilizado como base de datos para la organización del trabajo del Equipo de Auditoría Informática de la ESPE.  Entrevistas Es una técnica útil y arriesgada.Además existen otros métodos. es aquella en la que el auditor participa en los procesos de la unidad auditada. está en adoptar una postura amigable y de colaboración.  Observación Directa Es una técnica que nos permite captar con todos nuestro sentido la realidad de la organización y puede ser de dos tipos. hay que definir el objetivo de la observación (cuál es el motivo de su realización). es aquella en que el auditor observa externamente el proceso sin interferir en ellos y. por escrito. ésta representa la inversión del territorio laboral de una persona.).

Tabla 2: Matriz de riesgos Dominio General a analizar Subdominio a analizar Dominio General no requiere análisis Control de Importancia No importante Muy importante Alto Algo importante Riesgo Medio bajo Fuentes Documentado X o o o No Documentado Proceso de TI PO1 PO1. Identificación de Riesgos de TI Críticos. que sigue pautas determinadas. (La cual fue contestada por el responsable del sistema). Checklist El checklist es una técnica muy utilizada en el campo de la auditoría informática.1. No es más que una lista de comprobación o cuestionario. dependiendo de qué estemos evaluando o qué objetivos se desean alcanzar.3. La matriz con la que se manejó los Riesgos de TI críticos. es la que se muestra a continuación. INVESTIGACIÓN DE CAMPO 3. 3.2 PO1.1 PO1. ésta corresponde correspondiente a los procesos críticos que se han encontrado en el sistema de la Cooperativa de Ahorro y Crédito “Alianza del Valle” Ltda.3 Definir un Plan Estratégico de TI Administración del valor de TI Alineación de Ti con el negocio Evaluación del desempeño actual x X 87 .3.

13 PO4.3 PO2.4 X PO3 PO3.2 PO4.9 PO4.6 PO4.4 PO3.1 Plan estratégico de TI Planes tácticos de TI Administración del portafolio de TI Definir la arquitectura de información Modelo de arquitectura de información empresarial Diccionario de datos empresarial y reglas de sintaxis de datos Esquema de clasificación de datos Administración de la integridad Determinar la dirección tecnológica Planeación de la dirección tecnológica Plan de infraestructura tecnológica Monitoreo de tendencias y regulaciones futuras Estándares tecnológicos Consejo de arquitectura Definir los procesos.1 PO3.5 PO1.8 PO4.2 PO2.3 PO4.6 X PO2 PO2.4 PO1.2 PO3.1 PO4.7 o o x o o o o o x o o o o o X X o PO4.5 X PO4 PO4.3 PO3.14 PO4.15 o O o o o o O o Personal clave de TI Políticas y procedimientos para personal contratado Relaciones 88 .12 PO4.10 PO4.11 PO4.PO1.4 PO4.5 PO4. la seguridad y el cumplimiento Propiedad de datos y de sistemas Supervisión Segregación de funciones Personal de TI o o x o o o X o PO2. organización y relaciones de TI Marco de trabajo del proceso Comité estratégico Comité directivo Ubicación organizacional de la función de TI Estructura organizacional Roles y responsabilidades Responsabilidad de aseguramiento de calidad de TI Responsabilidad sobre el riesgo.

4 PO7.8 X PO8 PO8.1 PO6.2 PO8.4 PO6.X PO5 PO5.1 Administrar la inversión en TI Marco de trabajo para la administración financiera Prioridades dentro del presupuesto de TI Proceso presupuestal Administración de costos Administración de beneficios Comunicar las aspiraciones y la dirección de la gerencia Ambiente de políticas y de control Riesgo corporativo y marco de referencia de control interno de TI Administración de políticas para TI Implantación de políticas de TI Comunicación de los objetivos y la dirección de TI Administrar los recursos humanos de TI Reclutamiento y retención del personal Competencias del personal Asignación de roles Entrenamiento del personal de TI Dependencia sobre los individuos Procedimientos de Investigación del personal Evaluación del desempeño del empleado Cambios y terminación de trabajo Administrar calidad Sistema de administración de calidad Estándares y prácticas de calidad Estándares de desarrollo y de adquisición Enfoque en el cliente Mejora continua Medición.7 PO7.2 PO7.6 X PO9 O O X O O O O X 89 .5 PO7.5 X PO7 PO7.3 PO5.5 X PO6 PO6.3 PO7.5 PO8. monitoreo y revisión de la calidad Evaluar y administrar los riesgos de TI o x o x o X O X PO5.2 PO6.2 PO5.3 PO6.1 PO8.6 O o o o X O X O O o x O o o o o o X PO7.4 PO8.1 PO7.4 PO5.3 PO8.

4 X Al2 Al2.14 Cierre del proyecto X Al1 Identificar soluciones automatizadas Definición y mantenimiento de los Al1.9 o o o o o o o o o o o PO10.1 Alineación de la administración de riesgos de TI y del negocio Establecimiento del contexto del riesgo Identificación de eventos Evaluación de riegos Respuesta a los riesgos Mantenimiento y monitoreo de un plan de acción de riesgos Administrar proyectos Marco de trabajo para la administración de programas Marco de trabajo para la administración de proyectos Enfoque de administración de proyectos Compromiso de los interesados Estatuto de alcance del proyecto Inicio de las fases del proyecto Plan integrado del proyecto Recursos del proyecto Administración de riesgos del proyecto o o o o o o x o X PO10.1 o X 90 .5 PO9.7 PO10.8 PO10.10 Plan de calidad del proyecto PO10.1 PO9.2 PO9.2 PO10.5 PO10.4 PO10.6 X PO10 PO10.1 requerimientos técnicos y funcionales del negocio Al1.11 Control de cabios del proyecto PO10.3 PO9.12 Planeación del proyecto y métodos de aseguramiento Medición del desempeño. reportes y monitoreo del proyecto PO10. decisión de factibilidad y aprobación Adquirir y mantener software aplicativo Diseño de alto nivel x o o o o Al1.3 PO10.6 PO10.PO9.4 PO9.13 o o x X PO10.3 Reporte de análisis de riesgos Estudio de factibilidad y formulación de cursos de acción alternativos Requerimientos.2 Al1.

4 O Al2. o x o O Al2.4 Al5.2 Al3.3 Diseño detallado Control y adaptabilidad de las aplicaciones Seguridad y disponibilidad de las aplicaciones Configuración e implantación de software aplicativo adquirido Actualizaciones importantes en sistemas existentes Desarrollo de software aplicativo Aseguramiento de la calidad del software Administración de los requerimientos de aplicaciones Mantenimiento de software aplicativo Adquirir y mantener infraestructura tecnológica Plan de adquisición de infraestructura tecnológica Protección y disponibilidad del recurso de infraestructura Mantenimiento de la infraestructura Ambiente de prueba de factibilidad Facilitar la operación y el uso Plan para soluciones de operación Transferencia de conocimiento a la gerencia del negocio Transferencia de conocimiento a usuarios finales Transferencia de conocimiento al personal de operaciones y soporte Adquirir recursos de TI Control de adquisición Administración de contratos con proveedores Selección de proveedores Adquisición de software Adquisición de recursos de desarrollo Adquisición de infraestructura.2 Al2.9 Al2.1 Al5.5 O Al2.1 o Al3.6 Al2.7 Al2.Al2.5 Al5.4 X Al4 Al4.8 o o o Al2.10 X Al3 o o X Al3.1 Al4.4 X Al5 Al5.2 Al5.2 O O X O O X Al4.3 o Al4.6 o X O o o O O o X 91 .3 Al3.3 Al5.

3 DS1.2 DS1.3 Al6.6 X DS2 DS2.11 Al7.7 Al7.2 Al6.10 Al7.9 Al7.5 X Al7 Al7.4 Al6.5 o o o DS1.3 Al7.1 DS1. priorización y autorización Cambios de emergencia Seguimiento y reporte del estatus de cambio Cierre y documentación del cambio Instalar y acreditar soluciones y cambios Entrenamiento Plan de prueba Plan de implementación Ambiente de prueba Conversión de sistema y datos Prueba de cambios Prueba final de aceptación Transferencia a producción Liberación de software Distribución del sistema Registro y rastreo de cambios Revisión posterior a la implantación Definir y administrar los niveles de servicio Marco de trabajo de la administración de los niveles de serbio Definición de servicios Acuerdos de niveles de servicio Acuerdos de niveles de operación Monitoreo y reporte del cumplimiento de los niveles de servicio Revisión de los acuerdos de niveles de servicio y de los contratos Administrar los servicios de terceros Identificación de las relaciones con todos los proveedores o o x o o X o o o o o o o o o x o o o o X x o X Al6.8 Al7.6 Al7.5 Al7.1 o x o X 92 .instalaciones y servicios relacionados X Al6 Al6.2 Al7.12 X DS1 O DS1.4 Al7.4 DS1.1 Al7.1 Administrar cambios Estándares y procedimientos para cambios Evaluación de impacto.

1 DS5.DS2.3 DS3. vigilancia y monitoreo de la seguridad Definición de incidente de seguridad Protección de la tecnología de o o o o x o o o O O o o x O o o o x o o o X DS3 X DS3.1 DS3.4 Administración de las relaciones con los proveedores Administración de riesgos del proveedor Monitoreo del desempeño del proveedor Administrar el desempeño y la capacidad Planeación del desempeño y la capacidad Capacidad y desempeño actual Capacidad y desempeño futuro Disponibilidad de recursos de TI Monitoreo y reporte Garantizar la continuidad de los servicios Marco de trabajo de continuidad Planes de continuidad de TI Recursos críticos de TI Mantenimiento del plan de continuidad de TI Pruebas del plan de continuidad de TI Entrenamiento del plan de continuidad de TI Distribución del plan de continuidad de TI Recuperación y reanudación de los servicios de Ti Almacenamiento de respaldos fuera de las instalaciones Revisión port-reanudacion Garantizar la seguridad de los sistemas Administración de la seguridad de TI Plan de seguridad de TI Administración de identidad Administración de cuentas del usuario Pruebas.8 o DS4.5 DS4.1 DS4.3 DS2.4 DS3.6 DS5.7 o DS4.7 o X o 93 .3 DS5.4 DS4.5 X DS4 DS4.2 DS4.4 DS5.3 DS4.10 X DS5 DS5.2 DS3.6 o o X o DS4.9 DS4.2 DS5.2 DS2.5 DS5.

3 DS6.3 X DS10 DS10.2 DS7. detección y corrección de software malicioso Seguridad de la red Intercambio de datos sensitivos Identificar y asignar costos Definición de servicios Contabilización de TI Modelación de costos y cargos Mantenimiento del modelo de costos Educar y entrenar a los usuarios Identificación de necesidades de entrenamiento y educación Impartición de entrenamiento y educación Evaluación del entrenamiento recibido Administrar la mesa de servicio y los incidentes Mesa de servicios Registro de consultas de clientes Escalamiento de incidentes Cierre de incidentes Análisis de tendencias Administrar la configuración Repositorio de configuración y línea base Identificación y mantenimiento de elementos de configuración Revisión de integridad de la configuración Administración de problemas Identificación y clasificación de problemas Rastreo y resolución de problemas Cierre de problemas Integración de las administración de cambios.3 DS10.2 DS10.5 X DS9 DS9.1 DS10.1 DS6.4 DS8.9 DS5.3 X DS8 DS8.8 DS5. configuración y problemas o o o o o x o X x o x o o o x o o o o X X o o DS7.seguridad DS5.2 DS9.4 o x o o o o X 94 .2 DS8.2 DS6.4 X DS7 DS7.10 DS5.3 DS8.1 DS8.1 Administración de llaves criptográficas Prevención.1 o o X DS9.11 X DS6 DS6.

1 DS12.5 X DS13 DS13.4 DS13.5 ME1.5 DS11.3 DS11.1 ME1.3 DS12.1 o o o o X o o o x o o o o o X o o o o o o X o X 95 .X DS11 DS11.4 ME1.2 o DS11.2 DS12.4 DS12.3 DS13.5 X ME1 ME1.2 DS13.6 X ME2 ME2.1 DS13.1 Administración de la información Requerimientos del negocio para administración de datos Acuerdos de almacenamiento y conservación Sistema de administración de librerías de medios Eliminación Respaldo y restauración Requerimientos de seguridad para la administración de datos Administración del ambiente físico Selección y diseño de datos Medidas de seguridad física Acceso Físico Protección contra factores ambientales Administración de instalaciones físicas Administración de operaciones Procedimientos e instrucciones de operaciones Programación de tareas Monitoreo de la infraestructura de TI Documentos sensitivos y dispositivos de salida Mantenimiento preventivo del hardware Monitorear y evaluar el desempeño de TI Enfoque del monitoreo Definición y recolección de datos de monitoreo Método de monitoreo Evaluación del desempeño Reportes al consejo directivo y a ejecutivos Acciones correctivas Monitorear y evaluar el control interno Monitorear el marco de trabajo de control interno x x o o x x o X DS11.2 ME1.4 DS11.6 X DS12 DS12.3 ME1.

5 X ME4 ME4.3 ME2.1 ME4.7 X ME3 ME3.1 Revisiones de auditoría Excepciones de control Auto-evaluación de control Aseguramiento del control interno Control interno para terceros Acciones correctivas Garantizar el cumplimiento regulatorio Identificar las leyes y regulaciones con impacto potencial sobre TI Optimizar la respuesta a requerimientos regulatorios Evaluación del cumplimiento con requerimientos regulatorios Aseguramiento positivo del cumplimiento Reportes integrados Proporcionar gobierno de TI Establecer un marco de trabajo de gobierno para TI Alineamiento estratégico Entrega de valor Administración de recursos Administración de riesgos Medición del desempeño o o o o o o x o ME3.2 ME2.3 ME4.4 ME4.ME2.4 ME3.4 ME2.6 ME2.6 o o x o o o o o o 96 .2 o ME3.2 ME4.5 ME2.5 ME4.3 o ME3.

Plan de TI relacionada con el plan estratégico y operativo de negocios de la 2) que ofrece TI y. Matriz de Investigación de Campo Tabla 3: Matriz de investigación de campo INSTRUMENTOS DE PREGUNTAS OBJETIVOS DE CONTROL DETALLADOS Nombre Descripción CONTROLES POR VERIFICAR 1) Plan de capacitación al usuario sobre tecnologías de TI 2) Plan Prueba del Control 1) Anexo A. sobre qué estratégico TI debe hacer el negocio para capitalizar esas oportunidades.3. sobre las oportunidades cuenta Plan estratégico de justificación negocio. Las estrategias de negocio y de TI deben estar integradas. relacionando de manera alineado con plan estratégico de negocio empresa? Conoce la importancia de TI para el negocio y su crecimiento? 3) A futuro TI garantiza una capitalización negocio ? mejor del 97 .1: Hoja de Evaluación PO1 DOCUMENTACIÓN DE REFERENCIA Plan de capacitaciones.3.2. Asegurarse de que el rumbo del negocio al cual está alineado la TI está bien entendido. BASICAS INVESTIGACION DE CAMPO PO1.2 Alineación Educar a los ejecutivos de TI con el negocio sobre las capacidades tecnológicas actuales y sobre el rumbo futuro. 1) Cada proyecto Cuestionario y con una entrevista.

se deben comunicar de manera amplia. basado en que tan crítica y sensible es la información (esto es. pública.2: Hoja de Evaluación Manual general de políticas de gestión de informática y tecnología 1) La información que el negocio genera.clara las metas de la empresa y las metas de TI y reconociendo las oportunidades así como las limitaciones en la capacidad actual y. es tratada con la confidencialidad que requiere el caso? 2) Es el personal consiente del perfil que maneja cuando genera o extrae información del sistema? 3) Cuestionario y entrevista. Identificar las áreas en que el negocio (estrategia) depende de forma crítica de la TI y. confidencial. secreta) de la empresa. PO2. mediar entre los imperativos del negocio y la tecnología.3 Esquema de clasificación de datos Establecer un esquema de clasificación que aplique a toda la empresa. Este esquema incluye detalles acerca de la 1) Esquema de clasificación de datos 1) Anexo A. de tal modo que se puedan establecer prioridades concertadas. 2) Requerimientos PO2 de manejo de datos 3) Descripción de permisos de usuario para control de acceso 98 .

archivo o inscripción. Esto incluye la alineación con el apetito de riesgo y con el nivel de tolerancia al riesgo de la organización 1) Marco de administración de riesgos de TI 2) Marco de trabajo de administración de riesgos del negocio. una breve descripción de los requerimientos de retención y destrucción de datos. la de la administración de riesgos de TI y del negocio administración de riesgos y el marco de control de TI. PO9. 1) Anexo A. al marco de trabajo de administración de riesgos de la organización.1 Alineación Integrar el gobierno. marco de trabajo de riesgos son aprobados administración de riesgos de negocio por la gerencia? 99 .propiedad de datos.3: Hoja de Evaluación PO9 se solicita a la Cooperativa un marco de administración de riesgos de TI y el El modelo de datos es fácil de utilizar ? 1) Existen reportes de monitoreo de riesgos activados? 2) Los planes de administración de Cuestionario y entrevista. la definición de niveles apropiados de seguridad y de controles de protección y. Se usa como base para aplicar controles como el control de acceso. además de qué tan críticos y sensibles son.

Evaluación AI3 de adquisición. que esté de acuerdo con la dirección tecnológica de la organización.1 Plan de adquisición de infraestructura tecnológica Generar un plan para adquirir.AI3. El plan debe considerar extensiones futuras para adiciones de capacidad. establecidos funcionales y 2) Planificación de técnicos del negocio y. riesgos tecnológicos y vida útil de la inversión para actualizaciones de tecnología. implantar y mantener la 1) Plan de adquisición implantación y 1) Anexo A. Evaluar los costos de complejidad y la viabilidad comercial del proveedor y el producto al añadir nueva capacidad técnica TI 100 . costos de transición.4: Hoja de Solicitar a la Cooperativa el plan 1) Cuantos proyectos están sujetos a factibilidad dentro del plan anual de los TI? 2) Cuantos proyectos de TI han sido entregados a tiempo según el presupuesto y planificación? Cuestionario y entrevista. implantación y mantenimiento de la infraestructura tecnológica Plan de Administración de cambios infraestructura tecnológica mantenimiento de que satisfaga los requerimientos infraestructura tecnológica.

evaluación de vulnerabilidades y requerimientos de seguridad. de acuerdo con el procedimiento de administración de cambios de la organización. Incluir una revisión periódica contra las necesidades del negocio.AI3. 1) Plan de manteamientos de infraestructura tecnológica 2) Plan de administración de cambios infraestructura tecnológica 1) En qué porcentaje los usuarios se sienten satisfechos con la funcionalidad y mantenimiento de TI? 2) Con qué frecuencia con la que se realiza un mantenimiento? 3) Que procedimiento realiza para poder recibir un mantenimiento correctivo o preventivo ? 101 . riesgos.3 Mantenimiento de la Infraestructura Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se controlan los cambios. administración de parches y estrategias de actualización.

5: Hoja de Solicitar a la Cooperativa el 1) Procedimiento que necesario para realizar Cuestionario y entrevista.AI6. las plataformas fundamentales. AI6.5: Hoja de Evaluación AI6 1) Número de interrupciones o errores reportados y solucionados emergentemente? 2) Que cambios se han realizado emergentemente a la infraestructura? Cual es el procedimiento para cambios emergentes ? 3) 102 . procedimientos. plantear. evaluar y autorizar los cambios de emergencia que no sigan el proceso de cambio establecido. posiblemente.3 Cambios de emergencia Establecer un proceso para definir.1 Estándares Establecer y procedimientos para cambios procedimientos de administración de cambio formales para manejar de manera estándar todas las solicitudes (incluyendo mantenimiento y parches) para cambios a aplicaciones. La documentación y pruebas se realizan. Evaluación AI6 manual de gestión y un cambio o desarrollo de software mantenimiento de software? 2) Como se controla el acceso a los programas fuentes? 1) Manual de gestión y desarrollo de software 1) Anexo A. parámetros de sistema y servicio y. procesos. 1) Manual de gestión y desarrollo de software 1) Anexo A. después de la implantación del cambio de emergencia.

2) Reportes de cumplimiento de niveles de servicio. desempeño especificados niveles de servicio Evaluación para el nivel de servicio. 1) Cuantos son los Cuestionario y activos que intervienen entrevista. manual técnico de la base de datos y esquema de distribución de red.DS1. 1) Manual técnico del sistema 1) Anexo A. Los reportes sobre el cumplimiento de los niveles de servicio deben emitirse en un formato que sea entendible para los interesados.7: Hoja de Solicitar a la Cooperativa toda la información acerca del Core Bancario COBIS. en el buen funcionamiento de este sistema? 2) Seguridades de la base de datos y tablas de auditoría del sistema COBIS? 3) Los tiempos de COBIS 2) Manual Evaluación técnico de la base DS3 de datos 3) Esquema de distribución de red 103 .5 Monitoreo y reporte del cumplimento de los niveles de servicio Monitorear continuamente 1) Marco de los criterios de administración de 1) Anexo A.2 Capacidad y desempeño actual Revisar la capacidad y desempeño actual de los recursos de TI en intervalos regulares para determinar si existe suficiente capacidad y desempeño para prestar los servicios con base en los niveles de servicio acordados.6: Hoja de Solicitar como se procede en la administración de niveles de servicio del departamento de tecnología y sistemas 1) Que servicios han sido entregados y no se encuentran en el catalogo? 2) Que Cuestionario y entrevista. Las estadísticas de monitoreo son analizadas para identificar tendencias positivas y negativas tanto de servicios individuales como de los servicios en conjunto. DS1 niveles de servicio son medidos por el departamento de TI ? 3) Que porcentaje de usuarios se encuentran satisfechos con los niveles de servicio que brinda la empresa? DS3.

Los planes deben considerar requerimientos de resistencia. capacidad de recuperación de todos los servicios críticos de TI.8: Plan de contingencia de TI 1) Que tiempo transcurre entre las pruebas de cualquier elemento dado del plan de continuidad? Con qué frecuencia existen interrupciones ? 2) Cuestionario y entrevista. diseñado para reducir el impacto de una interrupción mayor de las funciones y los procesos clave del negocio.2 Planes de Desarrollar planes de 1) Plan de 1) Anexo A. los roles y responsabilidades. los procesos de comunicación y el enfoque de pruebas contingencia de TI Hoja de 2) Requerimientos Evaluación de los servicios críticos de TI DS4 104 . continuidad de TI continuidad de TI con base en el marco de trabajo. procesamiento alternativo y. los procedimientos.ejecución en las transacciones son los adecuados aspirados ? DS4. También deben cubrir los lineamientos de uso.

1) Políticas internas de seguridad en la red 1) Anexo A. firewalls. cambiar o eliminar privilegios de acceso Cuestionario y entrevista.DS5.9: Hoja de Evaluación DS5 Políticas internas de seguridades de la red 1) Número de incidentes con impacto negativo al negocio 2) Tiempos para otorgar. segmentación de redes y. detección de intrusos) para autorizar acceso y controlar los flujos de información desde y hacia las redes.10 Seguridad de la red Garantizar que se utilizan técnicas de seguridad y procedimientos de administración asociados (por ejemplo. 105 . dispositivos de seguridad.

de seguridad y de instalaciones. la ubicación de equipo crítico y de las áreas de envío y recepción. pero no limitarse al esquema del perímetro de seguridad. Cantidad de personal capacitado en medidas de protección. 2) Cuestionario y entrevista.10: Hoja de Evaluación DS12 Regulamiento estándar de seguridades físicas 1) Frecuencia de capacitación del personal respecto a medidas de protección. mantenga un perfil bajo respecto a la presencia de operaciones críticas de TI. Las medidas deben incluir. seguridad y de instalaciones. Deben establecerse las responsabilidades sobre el monitoreo y los procedimientos de reporte y de resolución de incidentes de seguridad física. de las zonas de seguridad. 1) Regulamiento estándar de seguridades físicas 1) Anexo A. En particular.2 Medidas de seguridad física Definir e implementar medidas de seguridad físicas alineadas con los requerimientos del negocio. 106 .DS12.

2) junto con las conclusiones y recomendaciones realizadas. el cual fue presentado y discutido con el encargado del Departamento de Sistemas. de ejecutar el análisis respectivo. el cual ha sido enviado a la Gerencia (sección 4. 107 .I. sostenidas con el personal del área de sistemas de la cooperativa. mismas que se indican en el INFORME PRELIMINAR. INTRODUCCIÓN Luego de llevar a cabo la revisión de la documentación del Departamento de Sistemas.2. es adecuada para cubrir todas las necesidades del la Cooperativa de Ahorro y Crédito “Alianza del Valle”. que es utilizado en la Cooperativa de Ahorro y Crédito “Alianza del Valle” Ltda.0 4. es detectar si la gestión del departamento de T.4). RESUMEN EJECUTIVO El objetivo principal de la auditoría. ante lo cual se creyó conveniente levantar la observación. se pudieron obtener conclusiones que nos permitieron generar recomendaciones. controles de aplicación y procedimientos de Ti existentes. de acuerdo a la Guía de Auditoría de COBIT.1. Posteriormente se elaboró el informe final de la auditoría. relacionadas con algunas observaciones. El documento incluye un resumen gerencial (sección 4. recibiendo del mismo las justificaciones respectivas. en donde efectuamos evaluaciones de las políticas. 4.CAPÍTULO IV Informe y resultados de la Investigación de Campo enfocándose a los 4 Dominios del Modelo COBIT 4.y. La auditoría se realizo en función de entrevistas y obtención de información.

El contenido de esta auditoría está basado en 4 pilares de revisión que son:  Evaluación Cobis  Evaluación Base de Datos Sybase  Evaluación Hardware y Software  Evaluación Comunicaciones Estos pilares se traducen en 10 procesos de evaluación Cobit que se detallan a continuación: PLANEAR Y ORGANIZAR PO1: Definir un Plan Estratégico de TI PO2: Definir la arquitectura de la Información. además evaluando los posibles riesgos según los recientes eventos que hayan afectado al proceso. A continuación se detalla el resumen ejecutivo presentado a la alta gerencia: (VER ANEXO D) 108 . considerando su funcionamiento e importancia. PO9: Evaluar y Administrar los Riesgos de TI ADQUIRIR E IMPLEMENTAR AI3: Adquirir y mantener infraestructura tecnológica AI6: Administrar cambios ENTREGAR Y DAR SOPORTE DS1: Definir y Administrar los niveles de Servicio DS3: Administrar el desempeño y la capacidad DS4: Garantizar la continuidad del servicio DS5: Garantizar la seguridad de los sistemas DS12: Administrar el Ambiente Físico Se inició la auditoría realizando la investigación de los procesos que se consideran prioritarios para la empresa.

 Diseñar y elaborar el informe de auditoría.4. hojas de evaluación y entrevistas con los encargados del Área de Sistemas de la Cooperativa Alianza del Valle. así como los responsables de la parte tecnológica y del negocio. definido el enfoque de auditoría a ser utilizado. en esta etapa se realizarán las siguientes actividades:  Detallar la manera en que se probará cada una de las actividades de control. esto con la finalidad de emitir una conclusión para cada actividad de control. tanto en su implementación.3. para probar cada actividad de control identificada en el enfoque de auditoría (Anexo C).  Planificar encuestas.  Una vez analizados los atributos de control de cada actividad. señaladas en el enfoque de auditoría. en concordancia con el primer punto. con la finalidad de conocer más a detalle los procesos y procedimientos existentes en la entidad y solicitar la documentación identificada en el punto anterior.  Determinar la documentación necesaria. donde por cada Objetivo de Control se detallará: o Criterio o Condición 109 . Checklist.  Una vez obtenida la información. como en su eficacia operativa. emitir una conclusión acerca de la implementación y de la eficacia operativa de cada objetivo de control. realizar su respectivo análisis y documentación. DESCRIPCIÓN DEL TRABAJO EFECTUADO Una vez analizada y conocida de la situación actual de la entidad y.

– 4. indicar en el informe su respuesta a cada una.  Emitir el informe final de auditoría. 110 . todas las oportunidades de mejora encontradas.  Después de discutidas las conclusiones y recomendaciones. de la que se detallan a continuación las observaciones y recomendaciones resultantes de la revisión.4. en el cual a más de lo indicado anteriormente. con la finalidad de conocer su opinión al respecto. se analizó cada uno de los controles referentes a los dominios en estudio.0. Evaluación y seguimiento en la Cooperativa de Ahorro y Crédito “Alianza del Valle”.Adquisición e implementación.o Causa o Efecto o Conclusiones o Recomendaciones  Verificar y discutir con la administración de la entidad. Planificación y Organización . 4. se adjuntará la respuesta de la administración para cada una de las recomendaciones emitidas. en base a la aplicación del marco de referencia COBIT v. RESULTADOS INFORME DE LAS RECOMENDACIONES ACORDADAS CON LAS AUTORIDADES PERTINENTES En conformidad con el Plan del proyecto de tesis. Soporte y servicios. con la administración de la entidad. “ AUDITORÍA INFORMÁTICA DE LA COOPERATIVA DE AHORRO Y CREDITO “ALIANZA DEL VALLE” LTDA”.

ha solicitado a través del departamento de auditoría interna y de la gerencia tecnológica. la ejecución de una auditoría informática. en reuniones de trabajo. estuvo conformado por docentes y egresados de la Carrera de Ingeniería en Sistemas e Informática de la ESPE. OBJETIVO: Realizar una Auditoría Informática de los Sistemas de Información Tecnológicos de la Cooperativa de Ahorro y Crédito “Alianza del Valle LTDA.”. misma que se realizo desde el 1 de Agosto del 2011 al 14 de Diciembre del 2011.  En base a los lineamientos del Marco de Referencia de COBIT v. utilizando COBIT. 4. 111 .  Cabe indicar que durante la evaluación. para el efecto se cumplieron visitas a las agencias.INFORME DETALLADO ANTECEDENTES:  La Cooperativa de Ahorro y Crédito “Alianza del Valle”. Base de Datos Sybase. las debilidades detectadas.  El Equipo de Auditoría. se ejecutaron exámenes especiales a áreas críticas. mediante la revisión del ambiente de control implementado en los procesos automatizados y en el gerenciamiento de los mismos. se aplicaron encuestas y entrevistas al personal. se desarrolló el trabajo. como son : Core Bancario Cobis. a fin de identificar debilidades y emitir recomendaciones que permitan minimizar los riesgos.0. a fin de que se tomen las medidas correctivas correspondientes con la agilidad del caso. Hardware y Comunicaciones. fueron puestas en conocimiento del Asistente de Gerencia y el Director de Informática y Comunicaciones.

las preguntas técnicas. COBIT está estructurado por 4 campos principales de administración. Gabriela Barros Srta. la necesidad de controles y los riesgos. Esto en particular aspira a ayudar a los líderes empresariales a entender y administrar los riesgos relacionados con la tecnología de la Información y la relación entre los procesos de administración. auditar y administrar la organización TI. Este Marco de referencia está basado en las mejores prácticas y sistemas de información de auditoría y control.GRUPO DE TRABAJO: Ing. Jenny Gualotuña (Administrador de Ti) Tec. Andrea Cadena PERSONAL DE LA DIRECCIÓN DE INFORMÁTICA Y COMUNCACIONES: Ing. Daniel Ortiz (Administrador del Centro de Cómputo) PERIODO DE EJECUCION: 1 Agosto 2011 – 14 Diciembre 2011 MARCO DE REFERENCIA UTILIZADO COBIT es un Marco de referencia de procesos y objetivos de control TI que pueden ser implementados para controlar. Gabriel Chiriboga (Consultor) Srta. Cada proceso TI provee una descripción de 112 . Mario Ron (Jefe de Proyecto) Eco. Cesar Obando (Director de la DIC) Tec. los cuales a su vez implican 34 procesos de administración asociados con la tecnología de la información.

COBIT ofrece un conjunto de herramientas para administrar los procesos TI unificando los dos puntos de vista. 113 . Estos modelos de madurez son similares en sus conceptos básicos utilizados por otros marcos referenciales. en lugar de especializarse en determinadas áreas. Las Guías de Administración TI consideran los controles TI desde una perspectiva de la administración. Se ha definido a COBIT como: "Una estructura de relaciones y procesos para direccionar y controlar la compañía para lograr la consecución de los objetivos del negocio. En resumen. entregando valor agregado mientras se administra el riesgo en función del ambiente de sistemas y sus procesos". COBIT también provee herramientas detalladas y personalizables de auto evaluación en forma de matrices y plantillas para asistir en la evaluación y medición de la organización comparada con los criterios de COBIT. COBIT. e indicadores clave de rendimiento son identificados en cada proceso. COBIT incluye un modelo de madurez para cada proceso TI. factores críticos de éxito. Para soportar una auto-evaluación. el de la administración y el del auditor. pero así como los 34 proceso TI de COBIT cubren todos los aspectos de TI. mientras que las Guías de Auditoría proveen asistencia específica a los auditores en el diseño de programas adecuados de auditoría para cada dominio. Ver informe detallado (Anexo E). que tan efectiva es su tarea. es una herramienta desarrollada para ayudar a los administradores de negocios a entender y administrar los riesgos asociados con la implementación de nuevas tecnologías y demostrar a las entidades reguladoras e inversionistas. Los recursos de TI y los criterios de la información requeridos para asegurar el éxito son también identificados para cada proceso TI.los requerimientos del negocio e identifica los asuntos claves que deben ser llevados a cabo para administrar exitosamente estos procesos. los modelos pueden ser utilizados para soportar la evaluación de toda la organización TI. Como soporte a la medición del rendimiento operacional. indicadores clave de logro de objetivos.

de la Cooperativa de Ahorro y Crédito “Alianza del Valle” Ltda. de los principales involucrados como son las Autoridades superiores de la Cooperativa. 114 . por lo tanto se exponen a continuación las siguientes conclusiones y recomendaciones en torno a la realización del proyecto.. el personal del departamento de sistemas y el Departamento de Auditoría Interna. el cual el cual a través de sus 4 dominios ofrece una serie de objetivos de control que permiten evaluar eficientemente el ambiente de control de una entidad. garantizando que TI está alineada con el negocio y que los riesgos de TI se administren apropiadamente. se han cumplido con los objetivos propuestos en el presente trabajo. - Para el desarrollo de una Auditoría Informática de los Sistemas de Información es de principal importancia contar con la guía de un marco de referencia.CAPÍTULO V CONCLUSIONES Y RECOMENDACIONES Al culminar el proyecto de la evaluación técnica e informática de los sistemas tecnológicos de información. Para este proyecto se ha escogido el modelo COBIT desarrollado por ISACA. - Durante el análisis y evaluación del ambiente de control en la entidad aplicando los dominios propuestos por COBIT se logro identificar debilidades obteniendo observaciones y recomendaciones para ser emitidas en el informe final. - Al alinear la Normativa emitida por la Superintendencia de Bancos respecto a Tecnologías de la Información y los objetivos de control propuestos por COBIT se logró identificar y valorar los riesgos dentro de la entidad para tomar las medidas pertinentes y minimizar la materialización de los riesgos identificados. para llevar a cabo el proceso de la Auditoría es de suma importancia contar con el compromiso y apertura a la Auditoría Informática de los sistemas de información.

- Luego de la revisión se analizo el nivel me madurez en que actualmente se encuentra la empresa según los riesgos y fallas encontradas y se determina el nivel al que se puede ascender si se cumplen con las recomendaciones planteadas. La Administración debe identificarse y conocer plenamente los controles. (Ver Anexo F) 115 . al mejorar los controles que están fallando se logrará mitigar los riesgos. pues sabiendo que si los controles facilitan la rendición de cuentas mediante la evidencia. - De acuerdo con lo planteado y el proyecto realizado es responsabilidad de la entidad aplicar y poner en marcha las recomendaciones emitidas de la Auditoría Informática. llevando a cabo esto de acuerdo a su capacidad y crecimiento.- La Auditoría de Ti en la Cooperativa propone mejoras a los controles existentes en la misma.

ANEXOS 116 .

Ecología. Santa Fe de Bogota. Edición.tw/span/span2-2.uib. Auditoría: Un enfoque Integral. Principios de Auditoría. O.PPT#266. Auditoría de Gestión – Economía.gov. 1999 - ARENS. 2001 - Auditoría Operacional de José Dagoberto Pinilla 117 . Colombia. Grupo Editorial Océano. Eficacia. Ron “Evaluación de los Sistemas de Tecnología Informática y Revisión de las Seguridades de Plataforma Específica Andrea M. Objetivos de Control Cobit. McGrawHill. Prentince Hall Guía de Auditoría. 2000 - Normas de Auditoría Interna emitidas por el The Institute of Internal Auditors - Enciclopedia de la Auditoría.shtml - http://dmi. México.es/~bbuades/auditoría/auditoría. Marco Referencial Cobit. Alvin. Resumen Ejecutivo Cobit. Auditoría: Un enfoque integral. Tobar. Ray. 1996 Robert L. Eficiencia.Metodología (2) - http://www. Implementation Tool Set – Cobit 3rd Edition - Modelo Coso Report Auditoría interna moderna de Brink y UIT WHITTINGTON. España.BIBLIOGRAFÍA: - ISACA COBIT3 y COBIT 4 Wikipedia http://www. Barr.com/trabajos5/audi/audi. Editorial Diana México 1975 Maldonado Milton. Etica.11.htm Auditoría Mario B. Irwin McGrawHill. 12ª. Ron Fases de una Auditoría / Mario B. Auditoría Examen de los Estados Financieros México 1989 - MEIGS.audit.org/cursohttp://www. para la empresa EMAPA-I”/ - Management Guidelines – Cobit 3rd Edition. PANY Kurt.solomanuales. Barcelona.monografias. Ron Resumen Marco Conceptual Modelo COBIT / Mario B. Grinaker Ben B.

tw/span/span2-2. segunda edición. Ron Fases de una Auditoría / Mario B.monografias.shtml - Auditoría Informática.- http://www. 12ª.com/ http://dmi.shtml http://www. Implementation Tool Set – Cobit 3rd Edition - Modelo Coso Report Auditoría interna moderna de Brink y UIT WHITTINGTON. Echenique García José Antonio. Marco Referencial Cobit.htm Auditoría Mario B. - Auditoría en Informática Un enfoque metodológico y práctico.es/ http://www. segunda edición. - COBIT versión 4 http://www. 2000 - Normas de Auditoría Interna emitidas por el The Institute of Internal Auditors 118 .audit. Gonzalo Alonso Rivas.gov. Ron Resumen Marco Conceptual Modelo COBIT / Mario B. Tobar.com/trabajos5/audi/audi.reddeabastecimiento. Resumen Ejecutivo Cobit.monografias. para - Management Guidelines – Cobit 3rd Edition.es/~bbuades/auditoría/sld006.php http://www.pdf http://www. Colombia.auditoríasistemas. PANY Kurt. Lic. Irwin McGrawHill.adacsi.org. Enrique Hernández Hernández. Edición.network-sec.osiatis.ar/es/content. Objetivos de Control Cobit. 1998 ediciones Díaz de Santos ISBN 84-87189-13. O. Ray. Piattini Velthuis Mario Gerardo y Del Peso Navarro Emilio.com/COBIT_DS http://itil. Auditoría: Un enfoque Integral. Ron “Evaluación de los Sistemas de Tecnología Informática y Revisión de las Seguridades de Plataforma Escuela Politécnica del Ejércitocífica la empresa EMAPA-I”/ Andrea M.org/COBIT%204. Auditoría informática. Santa Fe de Bogota. 2002 editorial continental ISBN 970-240042-2.uib.htm http://www.com/trabajos14/auditoríasistemas/auditoríasiste mas. - Auditoría informática.

Grupo Editorial Océano. 1996 Robert L. Grinaker Ben B. 1999 - ARENS. Auditoría Examen de los Estados Financieros México 1989 - MEIGS. España. Auditoría: Un enfoque integral. México. McGrawHill.- Enciclopedia de la Auditoría. Principios de Auditoría. Barcelona. Alvin. Prentince Hall Guía de Auditoría. Barr. Editorial Diana México 1975 119 .

DIRECTOR DE LA CARRERA ___________________________________ Ing. Mauricio Campaña Lugar y fecha: ________________________________ 120 . _________________________ Andrea Erika Cadena Marten.HOJA DE LEGALIZACIÓN DE FIRMAS ELABORADA POR _____________________________ Gabriela Fernanda Barros Marcillo.

Sign up to vote on this title
UsefulNot useful